Visão Geral

Curso SonarQube. SonarQube é uma ferramenta de análise de código-fonte totalmente automatizada que pode ser integrada aos seus processos de desenvolvimento existentes e colher imediatamente os benefícios de uma análise estática poderosa que encontra bugs, vulnerabilidades e cheiros de código em cada construção. Ele produz relatórios interativos para cada construção e os armazena em projetos para que você possa rastrear facilmente os problemas enquanto trabalha. Este Curso SonarQube, começa explicando como construir um servidor SonarQube. Em seguida, aborda como configurar a análise do código-fonte com um projeto de amostra. Você aprenderá como analisar uma construção e depois personalizar a análise de acordo com as necessidades do seu projeto. Por fim, você integrará a análise do código-fonte em um servidor de construção Jenkins.

Objetivo

Ao participar do Curso SonarQube, os participantes aprenderão a:

• Execute a imagem SonarQube Docker e faça um tour pela IU do SonarQube.
• Execute com banco de dados H2 incorporado e mapeie dados para partições externas.
• Execute com um banco de dados externo, como um contêiner PostgreSQL.
• Execute com docker-compose e use-o para mapear partições de dados e executar um contêiner de banco de dados.
• Crie um projeto SonarQube e obtenha uma chave para um scanner
• Execute uma varredura no Gradle.
• Corrija um problema em um projeto SonarQube e execute uma nova verificação.
• Altere ou adicione uma regra de verificação.
• Corrija uma construção que falha em um portão de qualidade.
• Configure a integração do Jenkins.
• Instale o SonarLint em um editor como o IntelliJ e modifique algum código.
• Integre o SonarQube a um fluxo de trabalho de CI.

Publico Alvo

• Administradores de segurança
• Qualquer equipe de segurança
• Administradores de sistema
• Praticantes de DevOps
• Equipe de operações de TI
• Engenheiros de lançamento
• Gerentes de configuração
• Qualquer pessoa envolvida com infraestrutura de TI
• Desenvolvedores e líderes da equipe de aplicativos
• ScrumMasters
• Gerentes de software e líderes de equipe

Pre-Requisitos

• Exposição prévia a JAVA/J2EE, habilidades em banco de dados
• Algum conhecimento sobre IDE, ferramenta de construção Ant

Materiais

Conteúdo Programatico

What is SonarQube?

1. Overview of SonarQube's Different Editions, Licenses, and Costs
2. How to Install and Run SonarQube From Docker
3. Run with embedded H2 database, and map data to external partitions.
4. Run with an external database, such as a PostgreSQL Container.
5. Run with docker-compose and use it to map data partitions and run a database container.

Administer SonarQube

1. General settings
2. Email
3. SMTP host/port
4. SSL
5. Base URL
6. Add users and groups
7. Overview of permissions and permissions templates

Plugins

1. Installing a plugin from the marketplace
2. Installing a plugin from a file

Analyzing Code

Overview of Analyzing Code With SonarQube

1. How analysis is performed:
2. Scanner requests data from the server
3. Scanner examines files
4. Results are uploaded to the server
5. Server stores analysis in a project; if required, a new project is created

Review different scanners and how they are configured and used

1. Gradle
2. .NET
3. Maven
4. Jenkins
5. Azure
6. Ant
7. CLI

Discuss the limitations of the community edition versus the developer edition

1. Analyze branches in developer edition
2. Analyze pull requests in developer edition

Create a SonarQube Project and Get a Key for a Scanner

1. Add a project, or allow SonarQube to create one
2. Add users
3. Restrict user to specific projects
4. Set analysis scope
5. Adjust file patterns so SonarQube analyzes only the file you want
6. Adjust directory patterns
7. Specify files to be ignored
8. How to generate a token for a scanner
9. View Report Results
10. Report overview page
11. New code/overall code tabs
12. Bugs, vulnerabilities, security hot spots, and technical debt
13. Drill down into issue details
14. View issue descriptions
15. View issues in-line with code
16. SonarQube Scanning Rules
17. View rules for different languages
18. SonarQube Quality Profiles and Quality Gates
19. View quality profiles
20. View quality gates

CI Integration

1. Overview of Jenkins and Jenkins Integration With SonarQube