SonarQube | SonarCloud | SonarLint – DevOps + セキュリティ + QA(最も広く利用されているオープンソースツール)
SonarQubeは、コード品質を継続的に検査するための主要なオープンソースプラットフォームです。静的コード解析を使用して自動コードレビューを行い、27以上のプログラミング言語にわたってバグ、コードの臭い(Code Smells)、セキュリティの脆弱性、保守性の問題を検出します。このコースは実践的な学習(learn-by-doing)アプローチで設計されており、SonarQubeとそのエコシステムに関する深く実用的な専門知識を習得できます。
対象者:
このコースは、コード品質、セキュリティ、およびCI/CDのベストプラクティスを習得したい、新卒者・初心者、開発者、プロジェクトマネージャー、アーキテクト、QAエンジニア、サポートエンジニア、DevOps、DevSecOps、情報セキュリティ(InfoSec)、プロセスエンジニアの方々に適しています。
基礎とコンセプト
SonarQube、SonarCloud、SonarLintの紹介
静的コード解析の目的と利点
DevOpsおよびDevSecOpsのユースケースの理解
SonarQubeのアーキテクチャ、エディション、バージョン、およびエコシステム
SonarQubeの主要な用語とメトリクス
保守性、信頼性、セキュリティの概念
インストールとセットアップ
DockerおよびDocker-Composeを使用したSonarQubeのインストールとセットアップ
Jenkinsのインストールと設定
Sonar Scannerのインストールと設定
ビルドツールのセットアップ:
Ant, Maven, Gradle
NodeJS, Python
SonarQube UIの概要とナビゲーション
実践的なコード解析
SonarQubeおよびCIパイプラインへのプロジェクトのオンボーディング
複数のプログラミング言語に対するコード解析の実行
解析結果の公開と解釈
コードカバレッジ、ユニットテスト、および統合テスト結果のレポート
以下事項の理解と分析:
バグ
脆弱性
コードの臭い(Code Smells)
技術的負債
複雑度
重複した行、ファイル、ブロック
SonarLintとIDEの統合
以下の環境へのSonarLintのインストール:
Eclipse
IntelliJ IDEA
VS Code
SonarLint Connected Modeの設定
IDEでのリアルタイムコード解析と問題検出
品質管理
クオリティゲート(Quality Gates)とクオリティプロファイル(Quality Profiles)
カスタムルールとルールテンプレートの作成と管理
チーム全体での品質標準の適用
クオリティゲートの条件に基づくビルドの失敗設定
特定された問題の処理と修正
管理と設定
プロジェクト管理
ユーザー、グループ、権限、およびトークンの管理
プラグインのインストールと管理
SonarQubeのセキュリティ設定
SMTP設定とメール通知
企業ロゴによるSonarQube UIのブランディング
SonarQube Marketplaceとシステムの詳細
セキュリティとSAST
SAST(静的アプリケーションセキュリティテスト)の基礎
セキュリティ脆弱性の分析
CI/CDパイプラインへのSASTの統合
CI/CDとDevOpsの統合
Jenkinsとの統合(ジョブとパイプライン)
GitHubおよびGitHub Actionsとの統合
GitLabおよびGitLab CI/CDとの統合
CI/CDワークフローにおける品質チェックの自動化
SonarQubeのクオリティゲートに基づくCI/CDパイプラインの失敗設定
高度なトピック
自動化、監視、データ抽出のためのSonarQube Web APIの利用
エンタープライズ規模のSonarQubeデプロイメントのベストプラクティス
このコースの修了までに習得できること:
クオリティゲート、クオリティプロファイル、およびルールの定義と管理
SonarLintを使用したローカルでのコード解析
安全でスケーラブルな静的コード解析の実行
SonarQubeとGitHub、GitLab、Jenkinsの統合
CI/CDパイプライン全体でのコード品質とセキュリティ標準の適用
SonarQubeインスタンスの自信を持った管理とカスタマイズ
