Freigeben über


AdvancedSecurity-Codeql-Analyze@1 - Erweiterte Sicherheit Durchführen der CodeQL-Analyse v1-Aufgabe

Analysiert den Code in einem Azure Repos Git-Repository, um Sicherheitsrisiken und Codierungsfehler zu finden. Sie müssen GitHub Advanced Security für Azure DevOps für das zu scannende Repository aktiviert haben.

Syntax

# Advanced Security Perform CodeQL analysis v1
# Finalizes the CodeQL database and runs the analysis queries.
- task: AdvancedSecurity-Codeql-Analyze@1
  inputs:
    #WaitForProcessing: false # boolean. Enable Wait for Processing. Default: false.
    #WaitForProcessingInterval: '5' # string. Optional. Use when WaitForProcessing = true. Wait for Processing Time Interval. Default: 5.
    #WaitForProcessingTimeout: '120' # string. Optional. Use when WaitForProcessing = true. Wait for Processing Timeout. Default: 120.

Eingänge

WaitForProcessing - Warten auf Verarbeitung aktivieren
boolean. Standardwert: false.

Warten Sie, bis Advanced Security die veröffentlichte SARIF-Datei verarbeitet hat, bevor Sie den Vorgang abschließen.


WaitForProcessingInterval - Warten Sie auf das Zeitintervall für die Verarbeitung
string. Wahlfrei. Wird verwendet, wenn WaitForProcessing = true. Standardwert: 5.

Zeit in Sekunden, die zwischen den einzelnen Aufrufen von Advanced Security gewartet werden soll, um den SARIF-Verarbeitungsstatus zu überprüfen.


WaitForProcessingTimeout - Warten Sie auf das Verarbeitungs-Timeout
string. Wahlfrei. Wird verwendet, wenn WaitForProcessing = true. Standardwert: 120.

Zeit in Sekunden, um zu warten, bis Advanced Security die SARIF-Datei verarbeitet hat, bevor sie abgeschlossen wird.


Aufgabensteuerungsoptionen

Alle Aufgaben verfügen zusätzlich zu ihren Aufgabeneingaben über Steuerungsoptionen. Weitere Informationen finden Sie unter Steuerelementoptionen und allgemeinen Aufgabeneigenschaften.

Ausgabevariablen

Keiner.

Bemerkungen

Von Bedeutung

Diese Aufgabe wird nur mit Azure Repos Git-Repositorys unterstützt.

Voraussetzungen

Damit die Aufgabe erfolgreich abgeschlossen und die Registerkarte "Erweiterte Sicherheit" für das gescannte Repository ausgefüllt werden kann, muss die erweiterte Sicherheit für dieses Repository aktiviert werden, bevor ein Build ausgeführt wird, in dem die Aufgabe zur Überprüfung von Abhängigkeiten enthalten ist.

Die Aufgabe kann sowohl auf selbstgehosteten Agents als auch auf von Microsoft gehosteten Agents ausgeführt werden. Informationen zu selbstgehosteten Agents finden Sie in den zusätzlichen Anweisungen zum Einrichten von selbstgehosteten Agents.

Die Pipeline muss die Aufgaben in der folgenden Reihenfolge aufrufen.

  1. Initialisieren von CodeQL
  2. AutoBuild (oder Ihre benutzerdefinierten Buildaufgaben)
  3. Durchführen der CodeQL-Analyse

Die AutoBuild-Aufgabe ist optional und kann durch Ihre benutzerdefinierten Buildaufgaben ersetzt werden. Entweder AutoBuild oder ihre benutzerdefinierten Buildaufgaben müssen ausgeführt werden, damit Ihr Projekt analysiert werden kann.

Die Analyseaufgabe muss nach der Initialisierungsaufgabe angezeigt werden, damit sie erfolgreich abgeschlossen werden kann.

# Initialize CodeQL database 
- task: AdvancedSecurity-Codeql-Init@1
  inputs: 
    languages: 'csharp' 
  displayName: 'Advanced Security Initialize CodeQL' 

# Build project using Autobuild or your own custom build steps 
- task: AdvancedSecurity-Codeql-Autobuild@1
  displayName: 'Advanced Security Autobuild' 

# Run analysis 
- task: AdvancedSecurity-Codeql-Analyze@1 
  displayName: 'Advanced Security Code Scanning' 

Anforderungen

Anforderung BESCHREIBUNG
Pipelinetypen YAML, Classic Build, Classic Release
Läuft auf Agent, DeploymentGroup
Anforderungen Nichts
Funktionen Dieser Vorgang erfüllt keine Anforderungen für nachfolgende Vorgänge im Auftrag.
Befehlseinschränkungen Beliebig
Settable-Variablen Beliebig
Agentversion Alle unterstützten Agentversionen.
Vorgangskategorie Bauen

Siehe auch