YAML-Konfigurationsoptionen zum Anpassen der Buildtasks
Hinweis
Ab dem 31. Dezember 2022 wurde die Erweiterung „Microsoft-Sicherheitscodeanalyse“ (Microsoft Security Code Analysis, MSCA) eingestellt. MSCA wurde durch die Azure DevOps-Erweiterung von Microsoft Security DevOps ersetzt. Befolgen Sie die Anweisungen unter Konfigurieren, um die Erweiterung zu installieren und zu konfigurieren.
In diesem Artikel sind alle YAML-Konfigurationsoptionen aufgeführt, die in den einzelnen Buildtasks verfügbar sind. Zunächst werden in diesem Artikel die Tasks für die Tools der Sicherheitscodeanalyse erläutert. Zum Schluss werden die Tasks für die Nachbearbeitung beschrieben.
Schadsoftwarescanner-Task
| InputType | Typ | Geltungsbereich | Erforderlich | Standardwert | Optionen (für Auswahllisten) | Beschreibung |
|---|---|---|---|---|---|---|
| InputType | pickList | immer | True | Basic | Basic, Custom | |
| ScanType | pickList | InputType = Basic | True | CustomScan | CustomScan, FullSystemScan, QuickScan, YourConfiguredScan | Der für den Antischadsoftware-Scan zu verwendende Scantyp. |
| FileDirPath | filePath | ScanType = CustomScan | True | $(Build.StagingDirectory) | Gibt die Datei oder das Verzeichnis für den Scanvorgang an. | |
| DisableRemediation | boolean | ScanType = CustomScan | False | true | Bei Aktivierung: 1) Dateiausschlüsse werden ignoriert. 2) Archivdateien werden gescannt. 3) Aktionen werden nach der Erkennung nicht angewendet. 4) Ereignisprotokolleinträge werden nach der Erkennung nicht geschrieben. 5) Erkennungen, die sich aus dem benutzerdefinierten Scan ergeben, werden nicht auf der Benutzeroberfläche angezeigt. 6) In der Konsolenausgabe wird die Liste mit den Erkennungen des benutzerdefinierten Scans angezeigt. | |
| BootSectorScan | boolean | ScanType = CustomScan | False | false | Wenn diese Option aktiviert ist, wird die Überprüfung des Startsektors ermöglicht. | |
| Argumente | Zeichenfolge | InputType = Custom | True | -Scan -ScanType 3 -DisableRemediation -File $(Build.StagingDirectory) | Die Befehlszeilenargumente, bei denen das Argument für „-File“ ein absoluter Pfad ist, oder ein relativer Pfad zum Verzeichnis „$(Build.StagingDirectory)“, das für Ihren Build-Agent vordefiniert ist. Hinweis: Wenn Sie kein Argument für „-File“ als letztes Argument angeben, wird standardmäßig „$(Build.StagingDirectory)“ verwendet. Sie können auch Ihre eigenen Argumente angeben, die für das Tool „MpCmdRun.exe“ zulässig sind. Weitere Informationen zu den Befehlszeilenargumenten für dieses Tool erhalten Sie, indem Sie -h oder -? im Feld „Arguments“ (Argumente) eingeben und den Buildtask ausführen. |
|
| EnableServices | boolean | immer | True | false | Wenn diese Option aktiviert ist, wird versucht, die erforderlichen Dienste für Windows Update zu aktivieren (falls sie deaktiviert sind). HINWEIS: Stellen Sie sicher, dass über die Gruppenrichtlinie nicht die Dienste deaktiviert werden und das Konto, unter dem dieser Build ausgeführt wird, über Administratorrechte verfügt. |
|
| SupportLogOnError | boolean | immer | True | false | Wenn diese Option aktiviert ist, werden die Unterstützungsdateien für die Diagnose erfasst, falls ein Fehler aufgetreten ist. Dieser Vorgang kann einige Minuten dauern. HINWEIS: Stellen Sie sicher, dass das Konto, unter dem dieser Build ausgeführt wird, über Administratorrechte verfügt. |
|
| TreatSignatureUpdateFailureAs | pickList | immer | True | Warnung | Fehler, Standard, Warnung | Die Protokollebene, die verwendet wird, falls die Signatur zur Laufzeit nicht aktualisiert werden kann. Bei der Festlegung auf Fehler ist der Buildtask nicht erfolgreich, wenn die Signatur nicht aktualisiert wird. Beachten Sie Folgendes: Es kommt häufiger vor, dass die Signatur auf gehosteten Build-Agents nicht erfolgreich ist. Dies kann auch passieren, wenn die Signatur relativ aktuell ist (weniger als drei Stunden alt). |
| SignatureFreshness | pickList | immer | True | UpToDate | OneDay, ThreeDays, TwoDays, UpToDate | Das maximal zulässige Alter für die Antischadsoftware-Signatur. Wenn die Signatur nicht aktualisiert werden kann und älter als dieser Wert ist, verhält sich der Buildtask gemäß dem ausgewählten Wert im Feld Validate Signatures Age As (Alter der Signatur validieren als). Hinweis: Wenn Sie UpToDate auswählen, können die Signaturen bis zu drei Stunden alt sein. |
| TreatStaleSignatureAs | pickList | immer | True | Fehler | Fehler, Standard, Warnung | Die Protokollebene, die verwendet wird, wenn das Alter der Signatur das ausgewählte AntiMalware Signature Age (Alter der Antischadsoftware-Signatur) übersteigt. Eine veraltete Signatur kann auch als Warnung oder Information behandelt werden, um den Antischadsoftware-Scan fortzusetzen. Von dieser Vorgehensweise wird aber abgeraten. |
BinSkim-Task
| InputType | Typ | Geltungsbereich | Erforderlich | Standardwert | Optionen (für Auswahllisten) | Beschreibung |
|---|---|---|---|---|---|---|
| InputType | pickList | immer | True | Basic | Basic, CommandLine | |
| Argumente | Zeichenfolge | InputType = CommandLine | True | BinSkim-Standard-Befehlszeilenargumente, die ausgeführt werden sollen. Der Ausgabepfad wird entfernt und ersetzt. Weitere Informationen zu den Befehlszeilenargumenten für dieses Tool erhalten Sie, indem Sie help im Feld „Arguments“ (Argumente) eingeben und den Buildtask ausführen. |
||
| Funktion | pickList | InputType = Basic | True | analyze | analyze, dump, exportConfig, exportRules | |
| AnalyzeTarget | filePath | InputType = Basic && Function = analyze | True | $(Build.ArtifactStagingDirectory)*.dll; $(Build.ArtifactStagingDirectory)*.exe |
Mindestens ein Spezifizierer für eine Datei, ein Verzeichnis oder ein Filtermuster, der in mindestens eine zu analysierende Binärdatei aufgelöst wird. (per Semikolon getrennte Liste) | |
| AnalyzeSymPath | Zeichenfolge | InputType = Basic && Function = analyze | False | Der Pfad zur Symboldatei für das Ziel. | ||
| AnalyzeConfigPath | Zeichenfolge | InputType = Basic && Function = analyze | False | default | Pfad zu einer Richtliniendatei, die zum Konfigurieren der Analyse verwendet wird. Übergeben Sie den Wert „default“, um integrierte Einstellungen zu verwenden. | |
| AnalyzePluginPath | Zeichenfolge | InputType = Basic && Function = analyze | False | Pfad zu einem Plug-In, das für alle Ziele im Analysesatz aufgerufen wird. | ||
| AnalyzeRecurse | boolean | InputType = Basic && Function = analyze | False | true | Rekursives Durchlaufen von Unterverzeichnissen beim Auswerten von Dateispezifiziererargumenten. | |
| AnalyzeVerbose | boolean | InputType = Basic && Function = analyze | False | false | Gibt eine ausführliche Ausgabe aus. Der sich ergebende umfassende Bericht ist so konzipiert, dass für Konformitätsszenarien die passenden Beweise geliefert werden. | |
| AnalyzeHashes | boolean | InputType = Basic && Function = analyze | False | false | Ausgabe eines SHA-256-Hashs von Analysezielen, wenn SARIF-Berichte ausgegeben werden. | |
| AnalyzeStatistics | boolean | InputType = Basic && Function = analyze | False | false | Generiert Zeit- und andere Statistiken für die Analysesitzung. | |
| AnalyzeEnvironment | boolean | InputType = Basic && Function = analyze | False | false | Protokolliert die Details zur Computerumgebung für die Ausführung in einer Ausgabedatei. WARNUNG: Mit dieser Option werden Informationen, die sensibler Art sein können (z. B. alle Werte von Umgebungsvariablen), in ausgegebenen Protokollen aufgezeichnet. | |
| ExportRulesOutputType | pickList | InputType = Basic && Function = exportRules | False | SARIF | SARIF, SonarQube | Der Typ der auszugebenden Regeldeskriptordatei. Wird in den BinSkim-Protokollordner eingefügt, der vom Buildtask „Veröffentlichen von Sicherheitsanalyseprotokollen“ veröffentlicht wird. |
| DumpTarget | filePath | InputType = Basic && Function = dump | True | $(Build.ArtifactStagingDirectory) | Mindestens ein Spezifizierer für eine Datei, ein Verzeichnis oder ein Filtermuster, der in mindestens eine zu analysierende Binärdatei aufgelöst wird. (per Semikolon getrennte Liste) | |
| DumpRecurse | boolean | InputType = Basic && Function = dump | False | true | Rekursives Durchlaufen von Unterverzeichnissen beim Auswerten von Dateispezifiziererargumenten. | |
| DumpVerbose | boolean | InputType = Basic && Function = dump | False | true | Gibt eine ausführliche Ausgabe aus. Der sich ergebende umfassende Bericht ist so konzipiert, dass für Konformitätsszenarien die passenden Beweise geliefert werden. | |
| toolVersion | pickList | immer | False | Neueste Version | 1.5.0, Latest, LatestPreRelease | Die Version des Tools, das ausgeführt werden soll. |
Credential Scanner-Task
| InputType | Typ | Geltungsbereich | Erforderlich | Standardwert | Optionen (für Auswahllisten) | Beschreibung |
|---|---|---|---|---|---|---|
| outputFormat | pickList | immer | False | pre | csv, pre, tsv | Das Ausgabeformat der Credential Scanner-Ergebnisdatei. |
| toolVersion | pickList | immer | False | Neueste Version | 1.27.7, Latest, LatestPreRelease | Die Version des Tools, das ausgeführt werden soll. |
| scanFolder | filePath | immer | False | $(Build.SourcesDirectory) | Der Ordner in Ihrem Repository, der auf Anmeldeinformationen überprüft werden soll. | |
| searchersFileType | pickList | immer | False | Standard | Custom, Default, DefaultAndCustom | Optionen zum Suchen nach der zum Scannen verwendeten Suchroutinendatei. |
| searchersFile | filePath | searchersFileType == Custom OR searchersFileType == DefaultAndCustom | False | Die Konfigurationsdatei der Credential Scanner-Suchroutinen für die auszuführenden Überprüfungen. Mehrere Werte können eingefügt und verwendet werden, indem eine kommagetrennte Liste mit Pfaden zu den Credential Scanner-Suchroutinendateien bereitgestellt wird. | ||
| suppressionsFile | filePath | immer | False | Die Credential Scanner-Unterdrückungsdatei, die zum Unterdrücken von Problemen im Ausgabeprotokoll verwendet wird. | ||
| suppressAsError | boolean | immer | False | false | Unterdrückte Übereinstimmungen werden in der Ausgabedatei „[-O]-matches.[-f]“ ausgegeben, und nicht in der Standardausgabedatei „[-O]-suppressed.[-f]“ für Unterdrückungen. (Der Standardwert ist „False“.) | |
| verboseOutput | boolean | immer | False | false | Gibt ausführliche Informationen aus. | |
| batchSize | Zeichenfolge | immer | False | Die Anzahl von parallelen Threads, die verwendet werden, um Credential Scanner-Instanzen parallel auszuführen. (Der Standardwert ist 20.) Der Wert muss im Bereich zwischen 1 und 2.147.483.647 liegen. |
||
| regexMatchTimeoutInSeconds | Zeichenfolge | immer | False | Gibt an, wie viele Sekunden die Suchroutine versucht, eine Übereinstimmung zu finden, bevor die Überprüfung abgebrochen wird. Fügt -Co RegexMatchTimeoutInSeconds=<Value> der Befehlszeile hinzu. |
||
| fileScanReadBufferSize | Zeichenfolge | immer | False | Puffergröße beim Lesen von Inhalt in Byte. (Der Standardwert ist 524.288.) Fügt -Co FileScanReadBufferSize=<Value> der Befehlszeile hinzu. |
||
| maxFileScanReadBytes | Zeichenfolge | immer | False | Maximale Anzahl von Bytes, die während der Inhaltsanalyse aus der jeweiligen Datei gelesen werden. (Der Standardwert ist 104.857.600.) Fügt -Co MaxFileScanReadBytes=<Value> der Befehlszeile hinzu. |
Roslyn Analyzers-Task
| InputType | Typ | Geltungsbereich | Erforderlich | Standardwert | Optionen (für Auswahllisten) | Beschreibung |
|---|---|---|---|---|---|---|
| userProvideBuildInfo | pickList | immer | True | auto | auto, msBuildInfo | Optionen für einen Benutzer zum Angeben der MSBuild-Version, MSBuild-Architektur und Buildbefehlszeile für die Roslyn-Analyse. Bei Auswahl von Auto werden mit diesem Task die Buildinformationen aus den vorherigen Tasks MSBuild, VSBuild bzw. .NET Core (für Build) derselben Pipeline abgerufen. |
| msBuildVersion | pickList | userProvideBuildInfo == msBuildInfo | True | 16,0 | 15.0, 16.0 | MSBuild-Version |
| msBuildArchitecture | pickList | userProvideBuildInfo == msBuildInfo | True | x86 | DotNetCore, x64, x86 | MSBuild-Architektur Hinweis: Wenn in der Buildbefehlszeile dotnet.exe build aufgerufen wird, sollten Sie die Option Via .NET Core (Über .NET Core) auswählen. |
| msBuildCommandline | Zeichenfolge | userProvideBuildInfo == msBuildInfo | True | Die vollständige Buildbefehlszeile zum Kompilieren Ihrer Projektmappe oder Projekte. Hinweise: Die Befehlszeile sollte mit einem vollständigen Pfad zu MSBuild.exe oder dotnet.exe beginnen. Der Befehl wird mit „$(Build.SourcesDirectory)“ als Arbeitsverzeichnis ausgeführt. |
||
| rulesetName | pickList | immer | False | Empfohlen | Custom, None, Recommended, Required | Ein benannter Regelsatz, der verwendet werden soll. Bei Auswahl von Ruleset Configured In Your Visual Studio Project File(s) wird der Regelsatz verwendet, der in Ihren VS-Projektdateien vorkonfiguriert ist. Bei Auswahl von Custom kann eine Option mit einem benutzerdefinierten Regelsatzpfad festgelegt werden. |
| rulesetVersion | pickList | rulesetName == Required OR rulesetName == Recommended | False | Neueste Version | 8.0, 8.1, 8.2, Latest, LatestPreRelease | Die Version des ausgewählten SDL-Regelsatzes. |
| customRuleset | Zeichenfolge | rulesetName = Custom | False | Ein zugänglicher Pfad zu einem zu verwendenden Regelsatz. Relative Pfade werden in den Stamm des Quellrepositorys ($(Build.SourcesDirectory)) normalisiert.Wenn für den Regelsatz Rules die Option Actions auf Error festgelegt ist, tritt für den Buildtask ein Fehler auf. Überprüfen Sie Continue on error unter Control Options für den Buildtask, um einen Regelsatz dieser Art zu verwenden. |
||
| microsoftAnalyzersVersion | pickList | immer | False | Neueste Version | 2.9.3, 2.9.4, 2.9.6, Latest, LatestPreRelease | Die Version des auszuführenden Microsoft.CodeAnalysis.FxCopAnalyzers-Pakets. |
| suppressionFileForCompilerWarnings | filePath | immer | False | Eine Unterdrückungsdatei zum Unterdrücken von C#- und VB-Compilerwarnungen. Eine Nur-Text-Datei, in der jede Warnungs-ID in einer separaten Zeile aufgeführt ist. Geben Sie für Compilerwarnungen nur den numerischen Teil des Warnungsbezeichners an. Beispielsweise wird mit 1018 die Warnung CS1018 und mit CA1501 die Warnung CA1501 unterdrückt. Ein relativer Dateipfad wird an den Stamm des Quellrepositorys ( $(Build.SourcesDirectory)) angefügt. |
TSLint-Task
| InputType | Typ | Geltungsbereich | Erforderlich | Standardwert | Optionen (für Auswahllisten) | Beschreibung |
|---|---|---|---|---|---|---|
| RuleLibrary | pickList | immer | True | tslint | custom, microsoft, tslint | Alle Ergebnisse enthalten die Regeln, die mit der ausgewählten Version von TSLint (Nur Basis) bereitgestellt werden. Base Only (Nur Basis): Nur die Regeln, die mit TSLint bereitgestellt werden. Include Microsoft Rules (Microsoft-Regeln einfügen): Lädt tslint-microsoft-contrib herunter und fügt die entsprechenden Regeln ein, damit sie zur Verwendung in der TSLint-Ausführung verfügbar sind. Wenn Sie diese Option auswählen, wird das Kontrollkästchen Type Checking ausgeblendet, da diese Funktion für die Regeln von Microsoft erforderlich ist und automatisch genutzt wird. Außerdem wird das Feld Microsoft Contribution Version eingeblendet, damit Sie eine tslint-microsoft-contrib-Version von npm auswählen können.Include Custom Rules (Benutzerdefinierte Regeln einfügen): Blendet das Feld Rules Directory ein. Hierfür wird ein zugänglicher Pfad zu einem Verzeichnis mit den TSLint-Regeln akzeptiert, damit diese zur Verwendung in der TSLint-Ausführung verfügbar sind.Hinweis: Der Standardwert wurde in „tslint“ geändert, da bei vielen Benutzern Probleme beim Konfigurieren des Microsoft-Regelsatzes aufgetreten sind. Informationen zur Konfiguration einer bestimmten Version finden Sie auf GitHub unter tslint-microsoft-contrib. |
| RulesDirectory | Zeichenfolge | RuleLibrary == custom | True | Ein zugängliches Verzeichnis mit zusätzlichen TSLint-Regeln, damit diese für die Verwendung bei der TSLint-Ausführung verfügbar sind. | ||
| Ruleset | pickList | RuleLibrary != microsoft | True | tsrecommended | custom, tslatest, tsrecommended | Definiert die Regeln, die für TypeScript-Dateien ausgeführt werden. tslint:latest - Ist eine Erweiterung von tslint:recommended und wird fortlaufend aktualisiert, damit in jedem TSLint-Release jeweils die Konfiguration für die aktuellen Regeln enthalten ist. Bei Verwendung dieser Konfiguration kann es in Nebenversionen zu Breaking Changes kommen, wenn neue Regeln aktiviert werden. Dies führt zu Lint-Fehlern in Ihrem Code. Wenn für TSLint die nächste Hauptversion erreicht wird, wird tslint:recommended aktualisiert und ist dann mit tslint:latest identisch.tslint:recommended - Ein stabiler, etwas speziellerer Regelsatz, der von TSLint für die allgemeine TypeScript-Programmierung empfohlen wird. Da diese Konfiguration auf semver basiert, treten für Neben- oder Patchversionen keine Breaking Changes auf. |
| RulesetMicrosoft | pickList | RuleLibrary == microsoft | True | mssdlrequired | custom, msrecommended, mssdlrecommended, mssdlrequired, tslatest, tsrecommended | Definiert die Regeln, die für TypeScript-Dateien ausgeführt werden. microsoft:sdl-required - Ausführung aller verfügbaren Überprüfungen von „tslint“ und der Regeln vom Typ „tslint-microsoft-contrib“, die die erforderlichen Richtlinien von Security Development Lifecycle (SDL) erfüllen. microsoft:sdl-recommended - Ausführung aller verfügbaren Überprüfungen von „tslint“ und der Regeln vom Typ „tslint-microsoft-contrib“, die die erforderlichen und empfohlenen Richtlinien von Security Development Lifecycle (SDL) erfüllen. microsoft:recommended Bei dieser Konfiguration werden alle Überprüfungen durchgeführt, die von den Erstellern der tslint-microsoft-contrib-Regeln empfohlen werden. Dies umfasst auch Sicherheitsüberprüfungen und Überprüfungen anderer Art. tslint:latest - Ist eine Erweiterung von tslint:recommended und wird fortlaufend aktualisiert, damit in jedem TSLint-Release jeweils die Konfiguration für die aktuellen Regeln enthalten ist. Bei Verwendung dieser Konfiguration kann es in Nebenversionen zu Breaking Changes kommen, wenn neue Regeln aktiviert werden. Dies führt zu Lint-Fehlern in Ihrem Code. Wenn für TSLint die nächste Hauptversion erreicht wird, wird tslint:recommended aktualisiert und ist dann mit tslint:latest identisch.tslint:recommended - Ein stabiler, etwas speziellerer Regelsatz, der von TSLint für die allgemeine TypeScript-Programmierung empfohlen wird. Da diese Konfiguration auf semver basiert, treten für Neben- oder Patchversionen keine Breaking Changes auf. |
| RulesetFile | Zeichenfolge | Ruleset == custom OR RulesetMicrosoft == custom | True | Eine Konfigurationsdatei, mit der angegeben wird, welche Regeln ausgeführt werden sollen. Der Pfad zur Konfigurationsdatei wird als Pfad für benutzerdefinierte Regeln hinzugefügt. |
||
| FileSelectionType | pickList | immer | True | fileGlob | fileGlob, projectFile | |
| Dateien | Zeichenfolge | FileSelectionType == fileGlob | True | ***.ts | Ein Datei-Glob, mit dem bestimmt wird, welche Dateien verarbeitet werden sollen. Die Pfade gelten relativ zum Wert von Build.SourcesDirectory.Für die Beitragsbibliothek von Microsoft muss eine Projektdatei verwendet werden. Wenn Sie die Beitragsbibliothek von Microsoft mit der Option File Glob Pattern verwenden, wird eine Projektdatei für Sie generiert. |
|
| ECMAScriptVersion | pickList | FileSelectionType == fileGlob && RuleLibrary == microsoft | True | ES3 | ES2015, ES2016, ES2017, ES3, ES5, ES6, ESNext | Die Zielversion von ECMAScript, die mit Ihrem TypeScript-Compiler konfiguriert wurde. Bei Verwendung einer Projektdatei ist dies das Feld „compilerOptions.target“ in Ihrer TypeScript-Datei „tsconfig.json“. |
| Project | Zeichenfolge | FileSelectionType == projectFile | True | Pfad zur Datei tsconfig.json, in der TypeScript-Dateien für die Ausführung von TSLint angegeben sind. Die Pfade gelten relativ zum Wert von Build.SourcesDirectory. |
||
| TypeCheck | boolean | RuleLibrary != microsoft && FileSelectionType == projectFile | False | true | Aktiviert beim Ausführen von Lintingregeln die Typüberprüfung. | |
| ExcludeFiles | Zeichenfolge | immer | False | Ein Glob, mit dem angegeben wird, welche Dateien aus dem Lintingvorgang ausgeschlossen werden sollen. Die Pfade gelten relativ zum Wert von Build.SourcesDirectory. Mehrere Werte können per Semikolon getrennt angegeben werden. |
||
| OutputFormat | pickList | immer | True | json | checkstyle, codeFrame, filesList, json, msbuild, pmd, prose, stylish, verbose, vso | Der Formatierer, der zum Generieren der Ausgabe verwendet wird. Beachten Sie, dass das JSON-Format mit der Nachanalyse kompatibel ist. |
| NodeMemory | Zeichenfolge | immer | False | Eine explizite Menge von Arbeitsspeicher in MB, die dem Knoten für die TSLint-Ausführung zugeordnet wird. Beispiel: 8.000 Wird der CLI-Option --max_old_space=<value> für den Knoten zugeordnet. Dies ist eine v8 option. |
||
| ToolVersion | pickList | RuleLibrary != microsoft | True | latest | 4.0.0, 4.0.1, 4.0.2, 4.1.0, 4.1.1, 4.2.0, 4.3.0, 4.3.1, 4.4.0, 4.4.1, 4.4.2, 4.5.0, 4.5.1, 5.0.0, 5.1.0, 5.2.0, 5.3.0, 5.3.2, 5.4.0, 5.4.1, 5.4.2, 5.4.3, 5.5.0, latest | Die Version von TSLint, die heruntergeladen und ausgeführt werden soll. |
| TypeScriptVersion | pickList | immer | True | latest | 0.8.0, 0.8.1, 0.8.2, 0.8.3, 0.9.0, 0.9.1, 0.9.5, 0.9.7, 1.0.0, 1.0.1, 1.3.0, 1.4.1, 1.5.3, 1.6.2, 1.7.3, 1.7.5, 1.8.0, 1.8.10, 1.8.2, 1.8.5, 1.8.6, 1.8.7, 1.8.9, 1.9.0, 2.0.0, 2.0.10, 2.0.2, 2.0.3, 2.0.6, 2.0.7, 2.0.8, 2.0.9, 2.1.1, 2.1.4, 2.1.5, 2.1.6, 2.2.0, 2.2.1, custom, latest | Die TypeScript-Version, die heruntergeladen und verwendet werden soll. Hinweis: Hierbei muss es sich um die gleiche TypeScript-Version handeln, die zum Kompilieren des Codes verwendet wird. |
| TypeScriptVersionCustom | Zeichenfolge | TypeScriptVersion == custom | True | latest | Die TypeScript-Version, die heruntergeladen und verwendet werden soll. Hinweis: Hierbei muss es sich um die gleiche TypeScript-Version handeln, die zum Kompilieren des Codes verwendet wird. |
|
| MicrosoftContribVersion | pickList | RuleLibrary == microsoft | latest | 4.0.0, 4.0.1, 5.0.0, 5.0.1, latest | Die Version von tslint-microsoft-contrib (SDL-Regeln), die heruntergeladen und verwendet werden soll. Hinweis: Es wird die Version von tslint ausgewählt, die mit der für „tslint-microsoft-contrib“ ausgewählten Version kompatibel ist. Für Updates von „tslint-microsoft-contrib“ wird dieser Buildtask als „Gate“ vorgeschaltet, bis Tests durchgeführt werden können. |
Task zum Veröffentlichen von Sicherheitsanalyseprotokollen
| InputType | Typ | Geltungsbereich | Erforderlich | Standardwert | Optionen (für Auswahllisten) | Beschreibung |
|---|---|---|---|---|---|---|
| ArtifactName | Zeichenfolge | immer | True | CodeAnalysisLogs | Der Name des Artefakts, das erstellt werden soll. | |
| ArtifactType | pickList | immer | True | Container | Container, FilePath | Der Typ des Artefakts, das erstellt werden soll. |
| TargetPath | Zeichenfolge | ArtifactType = FilePath | False | \my\share$(Build.DefinitionName) $(Build.BuildNumber) |
Die Dateifreigabe, auf die die Dateien kopiert werden sollen. | |
| AllTools | boolean | immer | True | true | Dient zum Veröffentlichen von Ergebnissen, die von allen Buildtasks der Tools für die sichere Entwicklung generiert werden. | |
| AntiMalware | boolean | AllTools = false | True | true | Dient zum Veröffentlichen von Ergebnissen, die von Antischadsoftware-Buildtasks (AntiMalware) generiert werden. | |
| BinSkim | boolean | AllTools = false | True | true | Dient zum Veröffentlichen von Ergebnissen, die von BinSkim-Buildtasks generiert werden. | |
| CredScan | boolean | AllTools = false | True | true | Dient zum Veröffentlichen von Ergebnissen, die von Credential Scanner-Buildtasks generiert werden. | |
| RoslynAnalyzers | boolean | AllTools = false | True | false | Dient zum Veröffentlichen von Ergebnissen, die von Roslyn Analyzers-Buildtasks generiert werden. | |
| TSLint | boolean | AllTools = false | True | true | Dient zum Veröffentlichen von Ergebnissen, die von TSLint-Buildtasks generiert werden. Beachten Sie, dass für Berichte nur TSLint-Protokolle im JSON-Format unterstützt werden. Falls Sie ein anderes Format ausgewählt haben, sollten Sie Ihren TSLint-Buildtask entsprechend aktualisieren. | |
| ToolLogsNotFoundAction | picklist | immer | True | Standard | Error, None, Standard, Warning | Die Aktion, die ausgeführt werden soll, wenn Protokolle für ein ausgewähltes Tool (bzw. ein beliebiges Tool bei Aktivierung von „All Tools“) nicht gefunden werden. Dies impliziert, dass das Tool nicht ausgeführt wurde. Optionen: None: Die Nachricht wird in den ausführlichen Ausgabestream geschrieben, auf den nur zugegriffen werden kann, indem die VSTS-Variable system.debug auf true festgelegt wird. Standard: (Standard) Es wird eine Standardausgabenachricht mit dem Hinweis geschrieben, dass für das Tool keine Protokolle gefunden wurden. Warnung: Es wird eine Warnmeldung vom Typ „Gelb“ mit dem Hinweis geschrieben, dass für das Tool keine Protokolle geschrieben wurden. Diese Warnung wird auf der Seite mit der Buildzusammenfassung angezeigt. Fehler: Es wird eine Fehlermeldung vom Typ „Rot“ geschrieben, und es wird eine Ausnahme ausgelöst, die zu einem Buildfehler führt. Stellen Sie mit dieser Option sicher, welche einzelnen Tools ausgeführt werden. |
Sicherheitsberichts-Task
| InputType | Typ | Geltungsbereich | Erforderlich | Standardwert | Optionen (für Auswahllisten) | Beschreibung |
|---|---|---|---|---|---|---|
| VstsConsole | boolean | immer | False | true | Dient zum Schreiben von Ergebnissen in die Pipelinekonsole. | |
| TsvFile | boolean | immer | False | true | Es wird eine TSV-Datei (tabulatorgetrennte Werte) mit einer Zeile pro gefundenem Ergebnis generiert, in der die Informationen jeweils durch Tabulatoren getrennt sind. | |
| HtmlFile | boolean | immer | False | true | Generiert eine HTML-Berichtsdatei. | |
| AllTools | boolean | immer | True | false | Dient zum Melden von Ergebnissen, die von allen Buildtasks der Tools für die sichere Entwicklung generiert werden. | |
| BinSkim | boolean | AllTools = false | True | false | Dient zum Melden von Ergebnissen, die von BinSkim-Buildtasks generiert werden. | |
| BinSkimBreakOn | pickList | AllTools = true OR BinSkim = true | True | Fehler | Error, WarningAbove | Die Ebene der zu meldenden Ergebnisse. |
| CredScan | boolean | AllTools = false | True | false | Dient zum Melden von Ergebnissen, die von Credential Scanner-Buildtasks generiert werden. | |
| RoslynAnalyzers | boolean | AllTools = false | True | false | Dient zum Melden von Ergebnissen, die von Roslyn Analyzers-Buildtasks generiert werden. | |
| RoslynAnalyzersBreakOn | pickList | AllTools = true OR RoslynAnalyzers = true | True | Fehler | Error, WarningAbove | Die Ebene der zu meldenden Ergebnisse. |
| TSLint | boolean | AllTools = false | True | false | Dient zum Melden von Ergebnissen, die von TSLint-Buildtasks generiert werden. Beachten Sie, dass für Berichte nur TSLint-Protokolle im JSON-Format unterstützt werden. Falls Sie ein anderes Format ausgewählt haben, sollten Sie Ihren TSLint-Buildtask entsprechend aktualisieren. | |
| TSLintBreakOn | pickList | AllTools = true OR TSLint = true | True | Fehler | Error, WarningAbove | Die Ebene der zu meldenden Ergebnisse. |
| ToolLogsNotFoundAction | picklist | immer | True | Standard | Error, None, Standard, Warning | Die Aktion, die ausgeführt werden soll, wenn Protokolle für ein ausgewähltes Tool (bzw. ein beliebiges Tool bei Aktivierung von „All Tools“) nicht gefunden werden. Dies impliziert, dass das Tool nicht ausgeführt wurde. Optionen: None: Die Nachricht wird in den ausführlichen Ausgabestream geschrieben, auf den nur zugegriffen werden kann, indem die VSTS-Variable system.debug auf true festgelegt wird. Standard: (Standard) Es wird eine Standardausgabenachricht mit dem Hinweis geschrieben, dass für das Tool keine Protokolle gefunden wurden. Warnung: Es wird eine Warnmeldung vom Typ „Gelb“ mit dem Hinweis geschrieben, dass für das Tool keine Protokolle geschrieben wurden. Diese Warnung wird auf der Seite mit der Buildzusammenfassung angezeigt. Fehler: Es wird eine Fehlermeldung vom Typ „Rot“ geschrieben, und es wird eine Ausnahme ausgelöst, die zu einem Buildfehler führt. Stellen Sie mit dieser Option sicher, welche einzelnen Tools ausgeführt werden. |
| CustomLogsFolder | Zeichenfolge | immer | False | Der Basisordner, in dem sich die Protokolle des Analysetools befinden. Die einzelnen Protokolldateien befinden sich unter diesem Pfad in den Unterordnern, die nach den einzelnen Tools benannt sind. |
Nachanalyse-Task
| InputType | Typ | Geltungsbereich | Erforderlich | Standardwert | Optionen (für Auswahllisten) | Beschreibung |
|---|---|---|---|---|---|---|
| AllTools | boolean | immer | True | false | Für den Buildvorgang tritt ein Fehler auf, wenn von einem Buildtask der Microsoft-Sicherheitscodeanalyse Probleme gefunden werden. | |
| BinSkim | boolean | AllTools = false | True | false | Für den Buildvorgang tritt ein Fehler auf, wenn BinSkim-Probleme gefunden werden. Dies hängt von der von Ihnen ausgewählten „Break On“-Option ab. | |
| BinSkimBreakOn | pickList | AllTools = true OR BinSkim = true | True | Fehler | Error, WarningAbove | Die Ebene der Probleme, die zum Buildfehler führen. |
| CredScan | boolean | AllTools = false | True | false | Für den Buildvorgang tritt ein Fehler auf, falls Credential Scanner-Probleme gefunden werden. | |
| RoslynAnalyzers | boolean | AllTools = false | True | false | Für den Buildvorgang tritt ein Fehler auf, wenn Roslyn Analyzers-Probleme gefunden werden. | |
| RoslynAnalyzersBreakOn | pickList | AllTools = true OR RoslynAnalyzers = true | True | Fehler | Error, WarningAbove | Die Ebene der Probleme, die zum Buildfehler führen. |
| TSLint | boolean | AllTools = false | True | false | Für den Buildvorgang tritt ein Fehler auf, wenn TSLint-Probleme gefunden werden. Beachten Sie, dass für die Nachanalyse nur TSLint-Protokolle im JSON-Format unterstützt werden. Falls Sie ein anderes Format ausgewählt haben, sollten Sie Ihren TSLint-Buildtask entsprechend aktualisieren. | |
| TSLintBreakOn | pickList | AllTools = true OR TSLint = true | True | Fehler | Error, WarningAbove | Die Ebene der Probleme, die zum Buildfehler führen. |
| VstsConsole | boolean | immer | False | true | Dient zum Schreiben von Ergebnissen in die Pipelinekonsole. | |
| ToolLogsNotFoundAction | picklist | immer | True | Standard | Error, None, Standard, Warning | Die Aktion, die ausgeführt werden soll, wenn Protokolle für ein ausgewähltes Tool (bzw. ein beliebiges Tool bei Aktivierung von „All Tools“) nicht gefunden werden. Dies impliziert, dass das Tool nicht ausgeführt wurde. Optionen: None: Die Nachricht wird in den ausführlichen Ausgabestream geschrieben, auf den nur zugegriffen werden kann, indem die VSTS-Variable system.debug auf true festgelegt wird. Standard: (Standard) Es wird eine Standardausgabenachricht mit dem Hinweis geschrieben, dass für das Tool keine Protokolle gefunden wurden. Warnung: Es wird eine Warnmeldung vom Typ „Gelb“ mit dem Hinweis geschrieben, dass für das Tool keine Protokolle geschrieben wurden. Diese Warnung wird auf der Seite mit der Buildzusammenfassung angezeigt. Fehler: Es wird eine Fehlermeldung vom Typ „Rot“ geschrieben, und es wird eine Ausnahme ausgelöst, die zu einem Buildfehler führt. Stellen Sie mit dieser Option sicher, welche einzelnen Tools ausgeführt werden. |
Nächste Schritte
Wenn Sie weitere Fragen zur Erweiterung „Sicherheitscodeanalyse“ und zu den angebotenen Tools haben, lesen Sie unsere Seite mit FAQs.