Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Poznámka:
Od 31. prosince 2022 se rozšíření MICROSOFT Security Code Analysis (MSCA) vyřadí z provozu. MSCA se nahrazuje rozšířením Microsoft Security DevOps Azure DevOps. Postupujte podle pokynů v Konfigurace pro instalaci a konfiguraci rozšíření.
S rozšířením Microsoft Security Code Analysis můžou týmy přidat analýzu kódu zabezpečení do kanálů kontinuální integrace a doručování Azure DevOps (CI/CD). Tuto analýzu doporučuje specialisté SDL (Secure Development Lifecycle) v Microsoftu.
Konzistentní uživatelské rozhraní zjednodušuje zabezpečení skrytím složitosti spuštěných nástrojů. Díky doručování nástrojů založených na NuGetu už týmy nemusí spravovat instalaci nebo aktualizaci nástrojů. S příkazovým řádkem i základními rozhraními pro úlohy sestavení můžou mít všichni uživatelé co nejvíce kontroly nad nástroji, jak chtějí.
Týmy můžou také používat výkonné postprocesovací funkce, jako jsou:
- Publikování protokolů pro uchovávání
- Generování prakticky využitelných sestav zaměřených na vývojáře
- Konfigurace přerušení sestavení při regresních testech
Proč mám používat analýzu kódu zabezpečení společnosti Microsoft?
Zjednodušené zabezpečení
Přidání nástrojů pro analýzu kódu zabezpečení Microsoftu do kanálu Azure DevOps je stejně jednoduché jako přidávání nových úloh. Přizpůsobte si úkoly nebo použijte jejich výchozí chování. Úlohy běží jako součást kanálu Azure DevOps a vytvářejí protokoly, které podrobně uvádějí mnoho druhů výsledků.
Vyčištění sestavení
Po vyřešení počátečních problémů hlášených nástroji můžete rozšíření nakonfigurovat tak, aby přerušil sestavení na nových problémech. Nastavení sestavení kontinuální integrace pro každou žádost o přijetí změn je snadné.
Nastavte ho a zapomeňte na to
Ve výchozím nastavení zůstávají úkoly a nástroje sestavení aktualizované. Pokud existuje aktualizovaná verze nástroje, nemusíte ho stahovat a instalovat. Rozšíření se postará o aktualizaci za vás.
Pod pokličkou
Úlohy sestavení rozšíření skryjí složitost:
- Spouštění nástrojů pro statickou analýzu zabezpečení
- Zpracování výsledků ze souborů protokolu za účelem vytvoření souhrnné sestavy nebo zastavení buildu.
Sada nástrojů Microsoft Security Code Analysis
Rozšíření Microsoft Security Code Analysis poskytuje nejnovější verze důležitých analytických nástrojů, které jsou pro vás snadno dostupné. Rozšíření zahrnuje nástroje spravované Microsoftem i opensourcové nástroje.
Tyto nástroje se po použití odpovídající úlohy sestavení ke konfiguraci a spuštění pipeline automaticky stáhnou do agenta hostovaného v cloudu.
Tato část uvádí sadu nástrojů, které jsou v rozšíření aktuálně dostupné. Podívejte se na přidání dalších nástrojů. Pošlete nám také svoje návrhy na nástroje, které chcete přidat.
Antimalwarový skener
Úloha sestavení antimalwarového skeneru je nyní součástí rozšíření Microsoft Security Code Analysis. Tato úloha musí být spuštěná v agentu sestavení, který už má nainstalovaný program Windows Defender. Další informace najdete na webu programu Windows Defender.
BinSkim
BinSkim je jednoduchý skener pro přenositelný spustitelný soubor (PE), který ověřuje nastavení kompilátoru, nastavení linkeru a další vlastnosti binárních souborů relevantních pro zabezpečení. Tato úloha sestavení poskytuje rozhraní příkazového řádku pro konzolovou aplikaci binskim.exe. BinSkim je opensourcový nástroj. Další informace najdete v tématu BinSkim na GitHubu.
Skener přihlašovacích údajů
Hesla a další tajné kódy uložené ve zdrojovém kódu jsou významným problémem. Credential Scanner je proprietární nástroj pro statickou analýzu, který pomáhá tento problém vyřešit. Nástroj zjistí přihlašovací údaje, tajné kódy, certifikáty a další citlivý obsah ve zdrojovém kódu a výstupu sestavení.
Analyzátory Roslyn
Roslyn Analyzers je nástroj integrovaný kompilátorem Microsoftu pro statickou analýzu spravovaného kódu C# a jazyka Visual Basic. Další informace najdete o analyzátorech založených na Roslyn.
TSLint
TSLint je rozšiřitelný nástroj pro statickou analýzu, který kontroluje čitelnost, udržovatelnost a chyby v kódu TypeScriptu. Je široce podporovaná moderními editory a systémy sestavování. Můžete ho přizpůsobit vlastními pravidly lint, konfiguracemi a formátováními. TSLint je opensourcový nástroj. Další informace najdete v tématu TSLint na GitHubu.
Analýza a následné zpracování výsledků
Rozšíření Microsoft Security Code Analysis má také tři úlohy následného zpracování. Tyto úkoly vám pomůžou analyzovat výsledky nalezené úlohami nástroje zabezpečení. Tyto úlohy po přidání do kanálu obvykle následují za všemi ostatními úlohami nástroje.
Publikování protokolů analýzy zabezpečení
Úloha sestavení Publikovat protokoly analýzy zabezpečení zachovává soubory protokolů nástrojů zabezpečení, které se spouští během sestavení. Tyto protokoly si můžete přečíst za účely šetření a následných kroků.
Soubory protokolu můžete publikovat do Azure Artifacts jako soubor .zip. Můžete je také zkopírovat do přístupné sdílené složky z vašeho privátního agenta sestavení.
Zpráva o zabezpečení
Úloha sestavování zprávy o zabezpečení analyzuje soubory protokolů. Tyto soubory jsou vytvořeny nástroji zabezpečení, které běží během sestavení. Úloha sestavení pak vytvoří jeden souhrnný sestavový soubor. Tento soubor zobrazuje všechny problémy zjištěné analytickými nástroji.
Tuto úlohu můžete nakonfigurovat tak, aby hlásila výsledky pro konkrétní nástroje nebo pro všechny nástroje. Můžete také zvolit, jaká úroveň problému se má hlásit, například pouze chyby nebo chyby i upozornění.
Po analýze (přerušení sestavení)
Pomocí úlohy po analýze sestavení můžete vytvořit přerušení v procesu sestavení, které účelně způsobí jeho selhání. Přerušení sestavení vložíte, pokud jeden nebo více analytických nástrojů hlásí problémy v kódu.
Tuto úlohu můžete nakonfigurovat tak, aby přerušila proces sestavování na základě problémů zjištěných konkrétními nástroji nebo všemi dostupnými nástroji. Můžete ho také nakonfigurovat na základě závažnosti nalezených problémů, jako jsou chyby nebo upozornění.
Poznámka:
Každý úkol sestavení bude podle návrhu úspěšný, pokud se úkol úspěšně dokončí. To platí bez ohledu na to, zda nástroj najde problémy, aby se sestavení mohlo dokončit tím, že umožní spuštění všech nástrojů.
Další kroky
Pokyny k onboardingu a instalaci analýzy kódu zabezpečení společnosti Microsoft najdete v našem průvodci onboardingem a instalací .
Další informace o konfiguraci úloh sestavení najdete v průvodci konfigurace nebo v průvodci konfigurace YAML .
Pokud máte další dotazy týkající se rozšíření a nabízených nástrojů, podívejte se na naši stránku nejčastějších dotazů.