SonarQube를 활용한 안전한 SDLC 및 Azure DevOps 교육 과정

1. 정적 코드 분석의 개념과 범위

• 정의: 정적 분석, SAST, 규칙 카테고리 및 심각도
• 안전한 SDLC 및 위험 커버리지에서 정적 분석의 범위
• SonarQube가 보안 제어 및 개발자 워크플로에 어떻게 통합되는지

2. SonarQube 개요: 기능과 아키텍처

• 핵심 서비스, 데이터베이스 및 스캐너 구성 요소
• 품질 게이트, 품질 프로필, 품질 게이트 베스트 프랙티스
• 보안 관련 기능: 취약점, SAST 규칙 및 CWE 매핑

3. SonarQube 서버 UI 사용법

• 서버 UI 투어: 프로젝트, 이슈, 규칙, 측정 및 거버넌스 뷰
• 이슈 페이지 해석, 추적성, 수정 가이드라인
• 보고서 생성 및 내보내기 옵션

4. 빌드 도구와 SonarScanner 구성

• Maven, Gradle, Ant, MSBuild를 위한 SonarScanner 설정
• 스캐너 속성, 제외 사항, 멀티-모듈 프로젝트에 대한 베스트 프랙티스
• 정확한 분석을 위해 필요한 테스트 데이터 및 커버리지 보고서 생성

5. Azure DevOps와의 통합

• Azure DevOps에서 SonarQube 서비스 연결 구성
• Azure Pipelines에 SonarQube 작업 추가 및 PR 장식
• SonarQube로 Azure Repos 가져오기 및 자동화된 분석

6. 프로젝트 구성과 서드파티 분석 도구

• Java 및 Angular를 위한 프로젝트 수준 품질 프로필 및 규칙 선택
• 서드파티 분석 도구와 플러그인 라이프사이클 작업
• 분석 매개변수 정의 및 매개변수 상속

7. 역할, 책임, 안전한 개발 방법론 검토

• 역할 분리: 개발자, 리뷰어, DevOps, 보안 소유자
• CI/CD 프로세스를 위한 역할 및 책임 매트릭스 구성
• 기존 안전한 개발 방법론 검토 및 추천 프로세스

8. 고급: 규칙 추가, 조정, 전역 보안 기능 강화

• SonarQube 웹 API를 사용하여 사용자 정의 규칙 추가 및 관리
• 품질 게이트 조정 및 자동 정책 적용
• SonarQube 서버 보안 강화 및 접근 제어 베스트 프랙티스

9. 실습 세션 (응용)

• Lab A: 5개의 Java 리포지토리(적용 가능한 Quarkus)에 SonarScanner 구성 및 결과 분석
• Lab B: 1개의 Angular 프론트엔드에 Sonar 분석 구성 및 발견 사항 해석
• Lab C: 전체 파이프라인 실험—SonarQube를 Azure DevOps 파이프라인에 통합하고 PR 장식 활성화

10. 테스트, 문제 해결, 보고서 해석

• 테스트 데이터 생성 및 커버리지 측정 전략
• 일반적인 이슈와 스캐너, 파이프라인, 권한 오류 해결 방법
• 기술적 및 비기술적 이해 관계자에게 SonarQube 보고서를 읽고 제시하는 방법

11. 베스트 프랙티스 및 추천 사항

• 규칙 세트 선택 및 점진적 적용 전략
• 개발자, 리뷰어, 빌드 파이프라인을 위한 워크플로 추천
• 엔터프라이즈 환경에서 SonarQube 확장을 위한 로드맵

요약 및 다음 단계