Visão Geral

O Curso SonarQube para DevSecOps tem como foco capacitar profissionais a integrar o SonarQube às práticas de DevSecOps, promovendo segurança e qualidade de código de forma contínua dentro do pipeline de desenvolvimento.

O treinamento aborda análise estática de código, detecção de vulnerabilidades, integração com pipelines CI/CD, automação de Quality Gates, controle de Technical Debt e aplicação de políticas de governança de código alinhadas a frameworks de segurança como OWASP.

Os participantes aprenderão a implementar “Security as Code”, integrar SonarQube com ferramentas DevOps modernas e aplicar práticas de shift-left security, garantindo que vulnerabilidades sejam detectadas ainda nas fases iniciais do ciclo de desenvolvimento.

Objetivo

Após realizar este Curso SonarQube para DevSecOps, você será capaz de:

• Integrar o SonarQube a pipelines CI/CD
• Implementar análise estática automatizada em pipelines
• Configurar Quality Gates focados em segurança
• Detectar e tratar vulnerabilidades e Security Hotspots
• Aplicar princípios de shift-left security
• Automatizar bloqueio de builds inseguros
• Monitorar Technical Debt e risco de segurança
• Implementar governança de código segura

Publico Alvo

• Engenheiros DevOps
• Engenheiros de Segurança da Informação
• Desenvolvedores Full Stack
• Arquitetos de Software
• Analistas de Segurança de Aplicações
• Tech Leads

Pre-Requisitos

• Conhecimento básico de DevOps
• Noções de CI/CD
• Experiência básica com Git
• Conhecimento básico de desenvolvimento (Java, Python, JavaScript ou C#)
• Noções de segurança de aplicações

Materiais

Conteúdo Programatico

Module 1: DevSecOps Foundations

1. DevOps vs DevSecOps
2. Shift-Left Security Principles
3. Secure SDLC Overview
4. Static Application Security Testing (SAST)
5. Continuous Inspection Concepts

Module 2: SonarQube Security Architecture

1. SonarQube Security Model
2. Security Hotspots vs Vulnerabilities
3. OWASP Top 10 Overview
4. Clean Code and Secure Coding Practices
5. Risk-Based Code Analysis

Module 3: Installing and Hardening SonarQube

1. Deploying SonarQube with Docker
2. Secure Configuration Best Practices
3. Database Security Considerations
4. User Roles and Permission Management
5. Enabling HTTPS and Secure Access

Module 4: CI/CD Security Integration

1. Integrating SonarQube with Jenkins
2. Integrating with GitHub Actions
3. Integrating with GitLab CI
4. Automating SonarScanner in Pipelines
5. Blocking Builds Using Quality Gates

Module 5: Secure Quality Gates and Governance

1. Designing Security-Focused Quality Gates
2. Enforcing Zero Vulnerability Policies
3. Managing Technical Debt and Risk
4. Compliance and Audit Readiness
5. Reporting for Security Teams

Module 6: Advanced Security Use Cases

1. Pull Request Analysis and Code Review Automation
2. Branch Policies and Secure Development Workflow
3. Portfolio Risk Management
4. Monitoring and Continuous Improvement
5. Integrating with DevSecOps Toolchain

Module 7: Hands-on Labs and Real Scenarios

1. Building a Secure CI/CD Pipeline
2. Detecting OWASP Vulnerabilities
3. Fixing Security Hotspots
4. Implementing Governance Policies
5. End-to-End DevSecOps Simulation