مشاركة عبر

حول Microsoft Security Code Analysis

  • مقالة

ملاحظة

اعتبارا من 31 ديسمبر 2022، تم إيقاف ملحق Microsoft Security Code Analysis (MSCA). يتم استبدال MSCA بملحق Microsoft Security DevOps Azure DevOps. اتبع الإرشادات الواردة في تكوين لتثبيت الملحق وتكوينه.

باستخدام ملحق Microsoft Security Code Analysis، يمكن للفرق إضافة تحليل تعليمة برمجية الأمان إلى مسارات تدفق التكامل والتسليم المستمرة (CI/CD) الخاصة بهم في Azure DevOps. يوصي بهذا التحليل خبراء دورة حياة التطوير الآمن (SDL) في Microsoft.

تعمل UX المتسقة على تبسيط الأمان عن طريق إخفاء تعقيد أدوات التشغيل. من خلال تسليم الأدوات المستند إلى NuGet، لم تعد الفرق بحاجة إلى إدارة تثبيت الأدوات أو تحديثها. باستخدام كل من واجهات سطر الأوامر والواجهات الأساسية لمهام الإنشاء، يمكن لجميع المستخدمين التحكم في الأدوات بقدر ما يريدون.

يمكن للفرق أيضاً استخدام إمكانات المعالجة اللاحقة القوية مثل:

  • نشر السجلات للاحتفاظ بها.
  • إنشاء تقارير قابلة للتنفيذ تركز على المطور.
  • تكوين فواصل البناء في اختبارات الانحدار.

لماذا يجب علي استخدام Microsoft Security Code Analysis؟

تبسيط الأمن

تعد إضافة أدوات تحليل التعليمات البرمجية للأمان من Microsoft إلى تدفق Azure DevOps أمراً بسيطاً مثل إضافة مهام جديدة. تخصيص المهام أو استخدام سلوكها الافتراضي. تعمل المهام كجزء من تدفق Azure DevOps وتنتج سجلات توضح بالتفصيل العديد من أنواع النتائج.

بنيات نظيفة

بعد معالجة المشكلات الأوَّلية التي أبلغت عنها الأدوات، يمكنك تكوين الملحق لكسر الإنشاءات على المشكلات الجديدة. يعد إعداد التكامل المستمر الذي يعتمد على كل طلب سحب أمراً سهلاً.

اضبطها واتركها

بشكل افتراضي، تظل أدوات ومهام الإنشاء محدثة. إذا كان هناك إصدار محدث من الأداة، فلن تحتاج إلى تنزيله وتثبيته. الإضافة تهتم بالتحديث نيابة عنك.

في الخلفية

تخفي مهام بناء الملحق تعقيدات:

  • تشغيل أدوات تحليل الأمان الثابت.
  • معالجة النتائج من ملفات السجل لإنشاء تقرير موجز أو كسر البنية.

مجموعة أدوات Microsoft Security Code Analysis

يجعل ملحق Microsoft Security Code Analysis أحدث إصدارات أدوات التحليل المهمة متاحة لك بسهولة. يتضمن الملحق كلاً من الأدوات التي تديرها Microsoft وأدوات مفتوحة المصدر.

يتم تنزيل هذه الأدوات تلقائياً إلى العامل المستضاف على السحابة بعد استخدام مهمة الإنشاء المقابلة لتكوين مسار التدفق وتشغيله.

يسرد هذا القسم مجموعة الأدوات المتوفرة حالياً في الملحق. مشاهدة لإضافة المزيد من الأدوات. أيضاً، أرسل لنا اقتراحاتك للأدوات التي تريدنا أن نضيفها.

الماسح الضوئي لمكافحة البرامج الضارة

تم الآن تضمين مهمة إنشاء برنامج مكافحة البرامج الضارة في ملحق Microsoft Security Code Analysis. يجب تشغيل هذه المهمة على عامل بناء مثبت عليه Windows Defender بالفعل. لمزيد من المعلومات، راجع موقع Windows Defender على الويب.

BinSkim

BinSkim هو ماسح ضوئي خفيف الوزن قابل للتنفيذ محمول (PE) يتحقق من صحة إعدادات المحول البرمجي وإعدادات الرابط والخصائص الأخرى المتعلقة بالأمان للملفات الثنائية. توفر مهمة الإنشاء هذه غلاف سطر أوامر حول تطبيق وحدة التحكم binskim.exe. BinSkim هي أداة مفتوحة المصدر. لمزيد من المعلومات، راجع BinSkim على GitHub.

الماسح الضوئي لمعلومات تسجيل الدخول

تمثل كلمات المرور والبيانات السرية الأخرى المخزنة في التعليمة البرمجية المصدر مشكلة كبيرة. Credential Scanner هي أداة تحليل ثابتة خاصة تساعد في حل هذه المشكلة. تكتشف الأداة معلومات تسجيل الدخول والبيانات السرية والشهادات والمحتويات الحساسة الأخرى في التعليمة البرمجية المصدر ومخرجات التصميم.

Roslyn Analyzers

Roslyn Analyzers هي أداة Microsoft مجمعة متكاملة لتحليل التعليمة البرمجية C# وVisual Basic المدارة بشكل ثابت. لمزيد من المعلومات، راجع أدوات التحليل المستندة إلى Roslyn.

TSLint

TSLint هي أداة تحليل ثابتة قابلة للتوسيع تتحقق من تعليمة برمجية TypeScript لقابلية القراءة، وقابلية الصيانة، والأخطاء في الوظائف. إنه مدعوم على نطاق واسع من قِبَل المحررين وأنظمة البناء الحديثة. يمكنك تخصيصه بقواعد وتكوينات ومنسقات Lint الخاصة بك. TSLint هي أداة مفتوحة المصدر. لمزيد من المعلومات، راجع TSLint على GitHub.

التحليل والمعالجة اللاحقة للنتائج

يحتوي ملحق Microsoft Security Code Analysis أيضاً على ثلاث مهام معالجة لاحقة. تساعدك هذه المهام في تحليل النتائج التي تم العثور عليها بواسطة مهام أداة الأمان. عند إضافتها إلى تدفق، تتبع هذه المهام عادةً جميع مهام الأداة الأخرى.

نشر سجلات تحليل الأمان

تحافظ مهمة إنشاء سجلات تحليل الأمان للنشر على ملفات السجل الخاصة بأدوات الأمان التي يتم تشغيلها أثناء الإنشاء. يمكنك قراءة هذه السجلات للتحقيق والمتابعة.

يمكنك نشر ملفات السجل في Azure Artifacts كملف .zip. يمكنك أيضاً نسخها إلى مشاركة ملف يمكن الوصول إليها من عامل الإنشاء الخاص بك.

تقرير أمني

تقوم مهمة إنشاء تقرير الأمان بتوزيع ملفات السجل. يتم إنشاء هذه الملفات بواسطة أدوات الأمان التي يتم تشغيلها أثناء الإنشاء. تقوم مهمة الإنشاء بعد ذلك بإنشاء ملف تقرير موجز واحد. يعرض هذا الملف جميع المشكلات التي تم العثور عليها بواسطة أدوات التحليل.

يمكنك تكوين هذه المهمة للإبلاغ عن نتائج لأدوات معينة أو لجميع الأدوات. يمكنك أيضاً اختيار مستوى المشكلة المراد الإبلاغ عنه، مثل الأخطاء فقط أو كل من الأخطاء والتحذيرات.

التحليل اللاحق (فاصل البناء)

باستخدام مهمة إنشاء التحليل اللاحق، يمكنك إدخال فاصل بناء يتسبب عمداً في فشل التصميم. يمكنك إدخال فاصل بناء إذا أبلغت أداة أو أكثر من أدوات التحليل عن مشكلات في التعليمة البرمجية.

يمكنك تكوين هذه المهمة لكسر البنية الخاصة بالمشكلات التي تم العثور عليها بواسطة أدوات معينة أو جميع الأدوات. يمكنك أيضاً تهيئته بناءً على خطورة المشكلات التي تم العثور عليها، مثل الأخطاء أو التحذيرات.

ملاحظة

حسب التصميم، تنجح كل مهمة بناء إذا انتهت المهمة بنجاح. هذا صحيح سواء عثرت الأداة على مشكلات أم لا، بحيث يمكن تشغيل الإصدار حتى الاكتمال عن طريق السماح بتشغيل جميع الأدوات.

الخطوات التالية

للحصول على إرشادات حول كيفية إعداد Microsoft Security Code Analysis وتثبيته، راجع دليل الإعداد والتثبيت.

لمزيد من المعلومات حول تكوين مهام الإصدار، راجع دليل التكوين أو دليل تكوين YAML.

إذا كانت لديك أسئلة أخرى حول الملحق والأدوات المعروضة، فراجع صفحة الأسئلة المتداولة.