Formation Sonarqube : Outil d’analyse, de sécurité et de qualité du code

Programme de notre formation Sonarqube

Jour 1- Introduction à SonarQube & Docker

Présentation de SonarQube

• Outil d’analyse de code statique
• Détection : bugs, vulnérabilités, code smells
• Complémentarité avec les linters
• Approche qualité continue dans une démarche DevOps

Installation manuelle de SonarQube

• Création d’une VM (AWS)
• Installation :
  • SonarQube
  • Sonar Scanner CLI
  • Scan d’un dépôt Git
• Débrief :
  • Processus manuel, fragile
  • Difficilement reproductible
  • Maintenance limitée

Introduction à Docker

• Concepts clés : conteneurs, images, volumes
• Docker Hub
• Bénéfices :
  • Rapidité
  • Isolation
  • Portabilité

SonarQube via Docker

• Création d’une nouvelle VM (Ubuntu ou Amazon Linux différente pour chaque participant)
• Installation de SonarQube via Docker
• Installation de Sonar Scanner CLI en local
• Scan d’un dépôt Git
• Débrief :
  • Installation plus rapide et fiable
  • Moins d’erreurs de configuration
  • Environnement facilement reproductible
  • Possibilité de dockeriser le scanner CLI

Jour 2 – GitLab CI/CD & Intégration SonarQube

Quiz récapitulatif Jour 1

Présentation des SCM (GitLab, etc.)

Mise en place de GitLab CI

• Création d’un compte GitLab
• Déploiement d’un GitLab Runner personnel (VM)

Présentation de la CI/CD

• Concepts :
  • Pipeline
  • Job
  • Stage
• Intérêt :
  • Automatisation
  • Réduction des erreurs humaines
  • Livraison rapide et fiable

Premier pipeline CI

• Création d’un fichier .gitlab-ci.yml
• Affichage d’un message “Hello world”
• Débrief :
  • Premiers pas dans l’automatisation
  • Compréhension du fonctionnement d’un pipeline
  • Base pour intégrer d’autres outils (SonarQube)

Intégration de SonarQube dans GitLab CI

• Dépôt avec code source réel
• Analyse SonarQube intégrée dans le pipeline
• Débrief :
  • Pipeline : outil de qualité continue
  • Intégration fluide de SonarQube
  • Vue concrète d’une chaîne DevOps

Jour 3 – Personnalisation & Bonnes Pratiques Qualité

Quiz récapitulatif Jour 2

Explication : Quality Profiles & Quality Gates

Quality Profiles

• Définition : ensemble de règles appliquées à un projet
• Objectifs :
  • Adapter les règles aux besoins réels
  • Désactivation de règles inutiles
• Actions :
  • Création d’un profil personnalisé
  • Modification et association à un projet
• Débrief :
  • Profil ajusté aux exigences projet
  • Réduction du “bruit” dans les analyses

Quality Gates

• Définition : critères de validation/échec d’une analyse
• Exemples :
  • Zéro bug bloquant
  • Couverture de tests > 80%
  • Pas de nouvelle dette technique
• Actions :
  • Création d’un gate personnalisé
  • Simulation d’un échec
  • Intégration dans le pipeline
• Débrief :
  • Quality Gate : seuil de tolérance qualité
  • Adaptation selon la phase ou le contexte projet

TP Final – Mini-projet DevOps

• Objectif :
  • Cloner un projet existant
  • Définir un Quality Profile + Gate personnalisés
  • Intégration dans GitLab CI
  • Validation/échec basé sur qualité de code
• Débrief :
  • Vision complète d’une chaîne DevOps
  • Intégration de la qualité dans le cycle de développement
  • Transportabilité en environnement pro

Clôture de la Formation

• Quiz / Récapitulatif final
• Recueil de feedback (oral ou formulaire)
• Remerciements & félicitations
• Partage de ressources complémentaires