SonarQube para un Ciclo de Vida de Desarrollo de Software (SDLC) Seguro y Azure DevOps

1. Conceptos y Alcance del Análisis Estático de Código

• Definiciones: análisis estático, SAST (Análisis Estático de Seguridad), categorías de reglas y severidad.
• Alcance del análisis estático en el SDLC seguro y cobertura de riesgos.
• Cómo se integra SonarQube en los controles de seguridad y flujos de trabajo del desarrollador.

2. Visión General de SonarQube: Características y Arquitectura

• Servicios principales, base de datos y componentes del analizador.
• Puertas de calidad (Quality Gates), perfiles de calidad y mejores prácticas para las puertas de calidad.
• Características relacionadas con la seguridad: vulnerabilidades, reglas SAST y mapeo a CWE.

3. Navegación y Uso de la Interfaz de Usuario del Servidor SonarQube

• Recorrido por la interfaz del servidor: proyectos, problemas, reglas, métricas y vistas de gobernanza.
• Interpretación de las páginas de problemas, trazabilidad y orientación para la remediación.
• Opciones de generación y exportación de informes.

4. Configuración de SonarScanner con Herramientas de Compilación

• Configuración de SonarScanner para Maven, Gradle, Ant y MSBuild.
• Mejores prácticas para propiedades del analizador, exclusiones y proyectos multirrastería.
• Generación de datos de prueba e informes de cobertura necesarios para un análisis preciso.

5. Integración con Azure DevOps

• Configuración de las conexiones de servicio de SonarQube en Azure DevOps.
• Agregado de tareas de SonarQube a las canalizaciones de Azure y decorado de solicitudes de extracción (PR).
• Importación de Azure Repos en SonarQube y automatización de los análisis.

6. Configuración del Proyecto y Analizadores de Terceros

• Perfiles de calidad a nivel de proyecto y selección de reglas para Java y Angular.
• Trabajo con analizadores de terceros y ciclo de vida de los complementos.
• Definición de parámetros de análisis e herencia de parámetros.

7. Roles, Responsabilidades y Revisión de la Metodología de Desarrollo Seguro

• Segregación de roles: desarrolladores, revisores, DevOps y dueños de seguridad.
• Construcción de una matriz de roles y responsabilidades para los procesos de CI/CD.
• Proceso de revisión y recomendaciones para una metodología de desarrollo seguro existente.

8. Avanzado: Agregado de Reglas, Ajuste y Mejora de Funciones Globales de Seguridad

• Uso de la API Web de SonarQube para agregar y gestionar reglas personalizadas.
• Ajuste de puertas de calidad e implementación automatizada de políticas.
• Endurecimiento de la seguridad del servidor SonarQube y mejores prácticas de control de acceso.

9. Sesiones de Laboratorio Práctico (Aplicadas)

• Laboratorio A: Configurar SonarScanner para 5 repositorios Java (Quarkus cuando corresponda) y analizar los resultados.
• Laboratorio B: Configurar el análisis de Sonar para 1 frontend Angular e interpretar los hallazgos.
• Laboratorio C: Laboratorio de canalización completa: integrar SonarQube con una canalización de Azure DevOps y habilitar el decorado de PR.

10. Pruebas, Solución de Problemas e Interpretación de Informes

• Estrategias para la generación de datos de prueba y medición de cobertura.
• Errores comunes y solución de problemas con el analizador, la canalización y los permisos.
• Cómo leer y presentar informes de SonarQube a partes interesadas técnicas y no técnicas.

11. Mejores Prácticas y Recomendaciones

• Selección de conjuntos de reglas y estrategias de aplicación incremental.
• Recomendaciones de flujo de trabajo para desarrolladores, revisores y canalizaciones de compilación.
• Hojas de ruta para escalar SonarQube en entornos empresariales.

Resumen y Próximos Pasos