SIFIRDAN ZİRVEYE .NET GELİŞTİRİCİLERİ İÇİN SONARQUBE İLE KOD GÜVENLİĞİ

EĞİTİM SÜRESİ

• • 3 Gün
  • Ders Süresi: 50 dakika
  • Eğitim Saati: 10:00 - 17:00

Eğitimler 50 dakika + 10 dakika moladır. 12:00-13:00 saatleri arasında 1 saat yemek arasındaki verilir. Günde toplam 6 saat eğitim verilir. 3 günlük formatta 18 saat eğitim verilmektedir.

Eğitimler uzaktan eğitim formatında tasarlanmıştır. Her eğitim için Teams linkleri gönderilir. Katılımcılar bu linklere girerek eğitimlere katılırlar. Ayrıca farklı remote çalışma araçları da eğitmen tarafından tüm katılımlara sunulur. Katılımcılar bu araçları kullanarak eğitimlere katılırlar.

Eğitim içeriğinde GitHub ve Codespace kullanılır. Katılımcılar bu platformlar üzerinden örnek projeler oluşturur ve eğitmenle birlikte eğitimlerde sorulan sorulara ve taleplere uygun içeriğe cevap verir.

Eğitim yapay zeka destekli kendi kendine öğrenme formasyonu ile tasarlanmıştır. Katılımcılar eğitim boyunca kendi kendine öğrenme formasyonu ile eğitimlere katılırlar. Bu eğitim formatı sayesinde tüm katılımcılar gelecek tüm yaşamlarında kendilerini güncellemeye devam edebilecekler ve her türlü sorunun karşısında çözüm bulabilecekleri yeteneklere sahip olacaklardır.

EĞİTİM HEDEFİ

• Kod Kalitesi ve Teknik Borç Kavramlarını Derinlemesine Anlamak: Katılımcılar, kod kalitesinin proje başarısındaki kritik rolünü ve teknik borcun yazılım yaşam döngüsüne olan etkilerini kavrayarak, sürdürülebilir kod yazımı için stratejiler geliştirebileceklerdir.
• Güvenli Kodlama ve Statik Kod Analizi Temellerini Öğrenmek: Yazılım güvenliği prensipleri, yaygın güvenlik açıkları ve SonarQube gibi statik analiz araçlarının kod güvenliği ve kalitesine katkıları hakkında kapsamlı bilgi sahibi olacaklardır.
• SonarQube Platformunun Mimarisini ve Ana Bileşenlerini Kavramak: SonarQube Server, Scanner ve veritabanı yapısını öğrenerek, platformun nasıl çalıştığını ve kalite yönetiminde nasıl etkin kullanıldığını anlayacaklardır.
• .NET ve C# Projeleri İçin SonarQube Analiz Süreçlerini Uygulayabilmek: .NET projelerinde SonarQube analizlerinin nasıl yapılandırılacağı, SonarScanner’ın kullanımı ve temel komutlarla uygulama becerisi kazanacaklardır.
• SonarLint ile Geliştirme Ortamına Entegrasyon Sağlayarak Anlık Kod Kalitesi ve Güvenlik Geri Bildirimleri Almak: Visual Studio ortamında SonarLint kullanarak kod yazarken potansiyel hataları erken tespit etme yetkinliği kazanacaklardır.
• SonarQube’de Sorun Tiplerini (Bugs, Code Smells, Vulnerabilities) Anlamak ve Önceliklendirmek: Kod üzerindeki sorunların önem derecelerine göre sınıflandırılmasını öğrenerek, etkili önceliklendirme ve çözüm odaklı çalışma yapabileceklerdir.
• Kalite Geçitleri (Quality Gates) ve Kalite Profilleri (Quality Profiles) ile Kod Kalitesini Yönetmek: Projelere özel kalite standartları tanımlayarak, otomatik kalite kontrol süreçlerini kurma ve yönetme becerisi geliştireceklerdir.
• CI/CD Pipeline’larına SonarQube Entegrasyonu Yapmak ve Otomatik Analiz Süreçlerini Kurmak: Azure DevOps, GitHub Actions gibi platformlarda SonarQube analizlerini otomatik tetikleyerek, güvenli ve kaliteli yazılım teslimatını destekleyeceklerdir.
• Analiz Raporlarını Derinlemesine İnceleyerek Güvenlik Açıkları ve Teknik Borç Yönetimini Etkin Hale Getirmek: SonarQube raporları üzerinden sorun yönetimi, triage süreçleri ve false positive yönetimi gibi gelişmiş teknikleri kullanacaklardır.
• Versiyon Kontrol Sistemleri ile Entegrasyon ve Gelişmiş Analiz Teknikleri Kullanmak: Pull Request analizleri ve branch bazlı kalite kontrol yaklaşımlarını öğrenerek, ekip içi kod kalitesi süreçlerini güçlendireceklerdir.
• DevSecOps Kültüründe SonarQube’ün Rolünü Anlamak ve SAST Analizlerini Derinlemesine Uygulamak: Güvenli yazılım geliştirme yaşam döngüsüne SonarQube’ü entegre ederek, sürekli güvenlik kontrolü ve otomasyonunu sağlayacaklardır.
• Özel Kural Geliştirme ve API Kullanımı ile SonarQube'ü Kurumsal İhtiyaçlara Uyarlamak: İhtiyaca yönelik özel kurallar yazma ve API üzerinden analiz sonuçlarını otomatik olarak yönetme becerisi kazanacaklardır.
• Güvenlik Açığı Yönetimi ve İleri OWASP Konularını Uygulamak: OWASP Top 10 ve gelişmiş güvenlik zafiyetleri üzerine derin teknik bilgi edinerek, .NET uygulamalarında güvenlik seviyesini artıracaklardır.
• SonarQube Yönetimi ve Teknik Borç Stratejileri ile Yazılım Kalitesini Sürekli İyileştirmek: Performans optimizasyonu, lisanslama ve teknik borcun etkili yönetimiyle sürdürülebilir bir kalite yönetim sistemi oluşturacaklardır.

Bu eğitim ile katılımcılar, SonarQube platformunu etkin kullanarak, yazılım projelerinde kalite ve güvenliği artırmak için gerekli bilgi ve becerilere sahip olacak; güvenli, sürdürülebilir ve bakım kolaylığı yüksek kod geliştirme kültürünü kurabileceklerdir.

EĞİTİM İÇERİĞİ

Modül 1: Temel Kavramlar ve Kod Kalitesine Giriş

• Kod Kalitesi Kavramı ve Önemi
• Teknik Borç (Technical Debt) Tanımı ve Etkileri
• Temiz Kod (Clean Code) Prensiplerine Giriş

Modül 2: Kod Güvenliğine Giriş ve Statik Analiz

• Neden Kod Güvenliği Önemlidir?
• Sıkça Karşılaşılan Kod Tabanlı Güvenlik Zafiyetlerine Genel Bakış
• Güvenli Yazılım Geliştirme Prensipleri Temelleri
• Statik Kod Analizi ve SDLC'deki Yeri
• Manuel İncelemeye Göre Avantajları

Modül 3: SonarQube Platformu ve .NET Analizi Temelleri

• SonarQube Nedir, Temel Bileşenleri Nelerdir?
• Kod Kalitesi ve Güvenliği İçin SonarQube Kullanımı
• SonarQube Arayüzüne ve Temel Kavramlara Genel Bakış
• .NET ve C# Analizi
• .NET Projeleri İçin Temel Analiz Adımları

Modül 4: SonarLint ile Geliştirme Ortamı Entegrasyonu

• SonarLint ile IDE Entegrasyonu
• Visual Studio İçin SonarLint Kurulumu ve Kullanımı
• Yerel Ortamda Tespit Edilen Temel Sorun Tipleri

Modül 5: SonarQube Sorun Tipleri ve OWASP Temelleri

• Temel SonarQube Sorun Tipleri
• Her Bir Kategoriye Ait Temel Örnekler
• Sorunların Önceliklendirilmesi ve Sınıflandırılması
• Temel OWASP Kavramları ve OWASP Top 10'a Genel Bakış
• .NET Kodunda OWASP Zafiyet Örnekleri

Modül 6: SonarQube Kalite Yönetimi - Geçitler ve Profiller

• SonarQube Kalite Geçitleri ve CI/CD'deki Rolü
• Özel Kalite Geçidi Kuralları Tanımlama
• Kalite Profilleri ve Kuralları
• Kural Etkinleştirme ve Yapılandırma

Modül 7: Otomatik Analiz ve CI/CD Entegrasyonu

• MSBuild ve Dotnet CLI ile Entegrasyon
• CI/CD Ortamlarında Entegrasyon Senaryoları
• Analiz Sonuçlarının Build Sürecine Etkisi

Modül 8: Analiz Raporları, Sorun Yönetimi ve Güvenli Kodlama

• Analiz Raporlarının Detaylı İncelenmesi
• Metriklerin Yorumlanması ve Yeni Kod Odaklı Stratejiler
• Sorun Triyajı ve Yanlış Pozitif Yönetimi
• Güvenli Kodlama Pratikleri ve SonarQube İlişkisi

Modül 9: Versiyon Kontrol Entegrasyonu ve Gelişmiş Analiz Yapıları

• VCS ve Branch Analizi
• Pull Request Entegrasyonu
• Çok Modüllü Projelerde Analiz Yönetimi

Modül 10: DevSecOps ve SAST Derinlemesi

• DevSecOps ve SSDLC
• SAST Prensipleri ve SonarQube'le Uygulama
• SAST/DAST/IAST Karşılaştırması

Modül 11: Özel Kural Geliştirme ve API Kullanımı

• Özel Kural Geliştirme Kavramı ve Senaryoları
• SonarQube SDK ile .NET/C# Kuralları Yazma
• API Kullanımı ve Otomasyon Senaryoları

Modül 12: Güvenlik Açığı Yönetimi ve İleri OWASP Konuları

• Güvenlik Açığı Yönetimi ve Prioritizasyon
• Remediation Takibi ve Raporlama
• İleri Düzey OWASP Konuları ve Kod Seviyesi Önlemler

Modül 13: SonarQube Yönetimi ve Teknik Borç Stratejileri

• Altyapı ve Kaynak Planlama
• Performans İpuçları ve Sorun Giderme
• Teknik Borcun Yönetimi ve Stratejileri

EĞİTİM YÖNETİMİ

• Teorik Bilgi: SonarQube platformunun mimarisi, statik kod analizi prensipleri, kod kalitesi ve güvenliği konularında güncel ve derinlemesine anlatımlar.
• Uygulamalı Örnekler: .NET projeleri üzerinde SonarQube kurulumu, analizlerin gerçekleştirilmesi, sorunların tespiti ve çözümüne yönelik gerçek senaryolarla pratik çalışmalar.
• Etkileşimli Tartışmalar: Katılımcıların deneyimlerini paylaşacağı, karşılaşılan zorlukların ve çözüm yollarının tartışıldığı, soru-cevap formatında zenginleştirilen oturumlar.
• Proje Tabanlı Öğrenme: Eğitimin son aşamasında, katılımcıların öğrendiklerini pekiştirmek amacıyla gerçek dünya kod tabanları üzerinde SonarQube analizi yaparak raporlama ve iyileştirme çalışmaları gerçekleştirmeleri sağlanacaktır.

HEDEF KİTLE

1. Yazılım Geliştiriciler: Kod kalitesini artırmak ve güvenli kodlama prensiplerini projelerinde uygulamak isteyen geliştiriciler.
2. Test Mühendisleri ve QA Uzmanları: Otomatik kalite kontrolleri ve güvenlik analizlerini süreçlerine entegre etmek isteyen profesyoneller.
3. DevOps ve CI/CD Mühendisleri: Sürekli entegrasyon ve teslimat süreçlerinde SonarQube kullanarak kalite kontrolü sağlamak isteyenler.
4. Proje ve Ürün Yöneticileri: Yazılım kalitesi ve teknik borç yönetimi süreçlerini anlamak ve ekiplerini bu doğrultuda yönlendirmek isteyen yöneticiler.
5. Scrum Master ve Agile Koçlar: Agile ekiplerde kalite ve güvenlik standartlarının uygulanmasını desteklemek isteyen profesyoneller.
6. BT Güvenlik Uzmanları: Yazılım güvenliği zafiyetlerinin erken tespiti ve önlenmesi konusunda teknik bilgi edinmek isteyen uzmanlar.
7. Yeni Mezunlar ve Stajyerler: Yazılım geliştirme yaşam döngüsünde kalite ve güvenlik odaklı kariyer hedefleyenler.
8. Danışmanlar: Kurumsal müşterilerine kod kalitesi ve güvenliği konularında rehberlik etmek isteyen danışmanlar.

KATILIMCILARDAN BEKLENTİLERİMİZ

• Katılımcıların temel yazılım geliştirme bilgisine sahip olmaları (özellikle .NET/C# bilgisi avantaj sağlar).
• Statik kod analizi ve DevOps süreçleri hakkında temel kavramlara aşinalık tercih edilir.
• Aktif öğrenme yaklaşımı ve uygulamalara katılım isteği.
• Temel Linux ve komut satırı kullanımı bilgisi faydalıdır.
• CI/CD ortamlarında temel işlem bilgisi önerilir, ancak zorunlu değildir.