Informace o analýze kódu zabezpečení společnosti Microsoft

  • Článek

Poznámka

S platností od 31. prosince 2022 je rozšíření Microsoft Security Code Analysis (MSCA) vyřazeno. MSCA se nahrazuje rozšířením Microsoft Security DevOps Azure DevOps. Postupujte podle pokynů v tématu Konfigurace a nainstalujte a nakonfigurujte rozšíření.

Pomocí rozšíření Microsoft Security Code Analysis můžou týmy přidávat analýzu kódu zabezpečení do svých kanálů kontinuální integrace a doručování (CI/CD) v Azure DevOps. Tuto analýzu doporučují odborníci na životní cyklus zabezpečeného vývoje (SDL) v Microsoftu.

Konzistentní uživatelské prostředí zjednodušuje zabezpečení tím, že skrývá složitost spuštěných nástrojů. Díky doručování nástrojů založených na NuGet už týmy nemusí spravovat instalaci nebo aktualizaci nástrojů. Díky rozhraní příkazového řádku i základním rozhraním pro úlohy sestavení můžou mít všichni uživatelé nad nástroji takovou kontrolu, jakou chtějí.

Týmy mohou také používat výkonné postprocessingové funkce, jako jsou:

  • Publikování protokolů pro uchovávání.
  • Generování použitelných sestav zaměřených na vývojáře
  • Konfigurace přerušení sestavení u regresních testů

Proč bych měl(a) používat Microsoft Security Code Analysis?

Zjednodušené zabezpečení

Přidání nástrojů Microsoft Security Code Analysis do kanálu Azure DevOps je stejně jednoduché jako přidání nových úloh. Přizpůsobte si úkoly nebo použijte jejich výchozí chování. Úlohy se spouští jako součást kanálu Azure DevOps a vytvářejí protokoly, které podrobně uvádějí mnoho druhů výsledků.

Vyčistit sestavení

Po vyřešení počátečních problémů nahlášených nástroji můžete nakonfigurovat rozšíření tak, aby přerušoval sestavení na nových problémech. Nastavení sestavení kontinuální integrace pro každou žádost o přijetí změn je snadné.

Nastavení a zapomenutí

Ve výchozím nastavení jsou úlohy a nástroje sestavení aktuální. Pokud je k dispozici aktualizovaná verze nástroje, nemusíte ho stahovat a instalovat. Rozšíření se o aktualizaci postará za vás.

Pod pokličkou

Úlohy sestavení rozšíření skrývají složitost:

  • Spouštění nástrojů pro statickou analýzu zabezpečení
  • Zpracování výsledků ze souborů protokolu za účelem vytvoření souhrnné sestavy nebo přerušení sestavení

Sada nástrojů Microsoft Security Code Analysis

Rozšíření Microsoft Security Code Analysis umožňuje snadnou dostupnost nejnovějších verzí důležitých analytických nástrojů. Rozšíření zahrnuje nástroje spravované Microsoftem i opensourcové nástroje.

Tyto nástroje se automaticky stáhnou do agenta hostovaného v cloudu po použití odpovídající úlohy sestavení ke konfiguraci a spuštění kanálu.

Tato část obsahuje seznam nástrojů, které jsou aktuálně k dispozici v rozšíření. Sledujte přidání dalších nástrojů. Pošlete nám také návrhy na nástroje, které chcete přidat.

Antimalwarový skener

Úloha sestavení antimalwarového skeneru je teď součástí rozšíření Microsoft Security Code Analysis. Tato úloha musí být spuštěna na agentu sestavení, který už má Windows Defender nainstalovaný. Další informace najdete na webu Windows Defender.

BinSkim

BinSkim je odlehčený skener pro přenosný spustitelný soubor (PE), který ověřuje nastavení kompilátoru, nastavení linkeru a další vlastnosti binárních souborů relevantní z hlediska zabezpečení. Tato úloha sestavení poskytuje obálku příkazového řádku kolem konzolové aplikace binskim.exe. BinSkim je opensourcový nástroj. Další informace najdete v tématu BinSkim na GitHubu.

Kontrola přihlašovacích údajů

Hesla a další tajné kódy uložené ve zdrojovém kódu představují významný problém. Skener přihlašovacích údajů je proprietární nástroj pro statickou analýzu, který pomáhá tento problém vyřešit. Nástroj rozpozná přihlašovací údaje, tajné kódy, certifikáty a další citlivý obsah ve zdrojovém kódu a výstupu sestavení.

Analyzátory Roslyn

Roslyn Analyzers je nástroj integrovaný v kompilátoru microsoftu pro statickou analýzu spravovaného kódu jazyka C# a Visual Basic. Další informace najdete v tématu Analyzátory založené na Roslynu.

TSLint

TSLint je rozšiřitelný nástroj pro statickou analýzu, který kontroluje čitelnost, udržovatelnost a chyby funkcí v kódu TypeScript. Je široce podporován moderními editory a systémy sestavení. Můžete si ho přizpůsobit pomocí vlastních pravidel lintu, konfigurací a formátovačů. TSLint je opensourcový nástroj. Další informace najdete v tématu TSLint na GitHubu.

Analýza a následné zpracování výsledků

Rozšíření Microsoft Security Code Analysis má také tři postprocessingové úlohy. Tyto úkoly vám pomůžou analyzovat výsledky zjištěné v úlohách nástrojů zabezpečení. Při přidání do kanálu tyto úlohy obvykle následují všechny ostatní úlohy nástroje.

Publikování protokolů analýzy zabezpečení

Úloha sestavení Publikovat protokoly analýzy zabezpečení zachovává soubory protokolů nástrojů zabezpečení, které se spouští během sestavování. Tyto protokoly si můžete přečíst pro účely šetření a následných kroků.

Soubory protokolu můžete publikovat do Azure Artifacts jako soubor .zip. Můžete je také zkopírovat do přístupné sdílené složky z privátního agenta sestavení.

Sestava zabezpečení

Úloha sestavení sestavy zabezpečení analyzuje soubory protokolu. Tyto soubory jsou vytvořeny nástroji zabezpečení, které se spouští během sestavování. Úloha sestavení pak vytvoří jeden soubor souhrnné sestavy. Tento soubor zobrazuje všechny problémy zjištěné analytickými nástroji.

Tuto úlohu můžete nakonfigurovat tak, aby sestavil výsledky pro konkrétní nástroje nebo pro všechny nástroje. Můžete také zvolit, jakou úroveň problému chcete hlásit, například jenom chyby nebo chyby a upozornění.

Po analýze (přerušení sestavení)

Pomocí úlohy sestavení po analýze můžete vložit přerušení sestavení, které záměrně způsobí selhání sestavení. Pokud jeden nebo více analytických nástrojů hlásí problémy v kódu, vložíte přerušení sestavení.

Tuto úlohu můžete nakonfigurovat tak, aby narušil sestavení pro problémy zjištěné konkrétními nástroji nebo všemi nástroji. Můžete ho také nakonfigurovat na základě závažnosti zjištěných problémů, jako jsou chyby nebo upozornění.

Poznámka

Každý úkol sestavení je z návrhu úspěšný, pokud se úkol úspěšně dokončí. To platí bez ohledu na to, jestli nástroj najde problémy, takže sestavení může běžet až do dokončení tím, že povolí spuštění všech nástrojů.

Další kroky

Pokyny k nasazení a instalaci nástroje Microsoft Security Code Analysis najdete v našem průvodci onboardingem a instalací.

Další informace o konfiguraci úloh sestavení najdete v našem průvodci konfigurací nebo v průvodci konfigurací YAML.

Pokud máte další dotazy k rozšíření a nabízeným nástrojům, podívejte se na naši stránku s nejčastějšími dotazy.