Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Remarque
À compter du 31 décembre 2022, l’extension Microsoft Security Code Analysis (MSCA) est supprimée. MSCA est remplacé par la l’extension Microsoft Security DevOps Azure DevOps. Suivez les instructions de Configurer pour installer et configurer l’extension.
Conditions préalables à la prise en main de l’analyse du code de sécurité Microsoft :
- Offre de support unifié Microsoft éligible, comme indiqué dans la section suivante.
- Une organisation Azure DevOps.
- Autorisation d’installer des extensions pour l’organisation Azure DevOps.
- Code source qui peut être synchronisé avec un pipeline Azure DevOps hébergé dans le cloud.
Intégration de l’extension Analyse du code de sécurité Microsoft
Vous souhaitez acheter l’extension Analyse du code de sécurité Microsoft ?
Si vous disposez de l’une des offres de support suivantes, contactez votre responsable de compte technique pour acheter ou échanger des heures existantes pour accéder à l’extension :
- Niveau Avancé de support unifié
- Niveau de performance du service de support unifié
- Premier Support pour les développeurs
- Premier Support pour les partenaires
- Premier Support pour l'Entreprise
Si vous n’avez pas l’un des contrats de support mentionnés ci-dessus, vous pouvez acheter l’extension auprès de l’un de nos partenaires.
Étapes suivantes :
Si vous remplissez les qualifications ci-dessus, contactez un partenaire dans la liste ci-dessous pour acheter l’extension Analyse du code de sécurité Microsoft. Dans le cas contraire, contactez le support Technique d’analyse du code de sécurité Microsoft.
Partenaires:
- Zones – Coordonnées : cloudsupport@zones.com
- Wortell – Coordonnées : info@wortell.nl
- Logicalis – Coordonnées : logicalisleads@us.logicalis.com
Devenir un partenaire
L’équipe Analyse du code de sécurité Microsoft cherche à intégrer des partenaires avec un contrat Premier Support for Partners. Les partenaires aideront les clients Azure DevOps à développer de manière plus sécurisée en vendant l’extension aux clients qui souhaitent l’acheter, mais n’ont pas de contrat de support Entreprise avec Microsoft. Les partenaires intéressés peuvent s’inscrire ici.
Installation de l’extension Analyse du code de sécurité Microsoft
- Une fois l’extension partagée avec votre organisation Azure DevOps, accédez à la page de votre organisation Azure DevOps. Un exemple d’URL pour une telle page est
https://dev.azure.com/contoso. - Sélectionnez l’icône du sac d’achat dans le coin supérieur droit en regard de votre nom, puis sélectionnez Gérer les extensions.
- Sélectionnez Partagé.
- Sélectionnez l’extension Analyse du code de sécurité Microsoft, sélectionnez Installer.
- Dans la liste déroulante, choisissez l’organisation Azure DevOps sur laquelle installer l’extension.
- Sélectionnez Installer. Une fois l’installation terminée, vous pouvez commencer à utiliser l’extension.
Remarque
Même si vous n’avez pas accès à l’installation de l’extension, suivez les étapes d’installation. Vous pouvez demander l’accès auprès de votre administrateur d’organisation Azure DevOps pendant le processus d’installation.
Après avoir installé l’extension, les tâches de build de développement sécurisées sont visibles et disponibles pour être ajoutées à vos pipelines Azure.
Ajout de tâches de génération spécifiques à votre pipeline Azure DevOps
- À partir de votre organisation Azure DevOps, ouvrez votre projet d’équipe.
- Sélectionnez Pipelines>Les builds.
- Sélectionnez le pipeline dans lequel vous souhaitez ajouter les tâches de génération d’extension :
- Nouveau pipeline : sélectionnez Nouveau et suivez les étapes détaillées pour créer un pipeline.
- Modifier le pipeline : sélectionnez un pipeline existant, puis sélectionnez Modifier pour commencer à modifier le pipeline.
- Sélectionnez + et accédez au volet Ajouter des tâches.
- Dans la liste ou à l’aide de la zone de recherche, recherchez la tâche de génération à ajouter. Sélectionnez Ajouter.
- Spécifiez les paramètres nécessaires à la tâche.
- Mettre en file d'attente un nouveau build.
Remarque
Les chemins d’accès aux fichiers et aux dossiers sont relatifs à la racine de votre référentiel source. Si vous spécifiez les fichiers et dossiers de sortie en tant que paramètres, ils sont remplacés par l’emplacement commun que nous avons défini sur l’agent de build.
Conseil / Astuce
- Pour exécuter une analyse après votre compilation, placez les tâches de compilation Analyse du code de sécurité Microsoft après l’étape Publier les artefacts de compilation, de votre build. Ainsi, votre build peut terminer et publier des résultats avant d’exécuter des outils d’analyse statique.
- Sélectionnez toujours Continuer sur l’erreur pour les tâches de build dans un contexte de développement sécurisé. Même si un outil échoue, les autres peuvent s’exécuter. Il n’y a pas d’interdépendance entre les outils.
- Les tâches de compilation de Microsoft Security Code Analysis échouent uniquement si un outil ne s'exécute pas correctement. Mais ils réussissent même si un outil identifie les problèmes dans le code. À l’aide de la tâche de génération post-analyse, vous pouvez configurer votre build pour échouer lorsqu’un outil identifie les problèmes dans le code.
- Certaines tâches de build Azure DevOps ne sont pas prises en charge lors de l’exécution via un pipeline de mise en production. Plus précisément, Azure DevOps ne prend pas en charge les tâches qui publient des artefacts à partir d’un pipeline de mise en production.
- Pour obtenir la liste des variables prédéfinies dans Azure DevOps Team Build que vous pouvez spécifier en tant que paramètres, consultez Variables de build Azure DevOps.
Étapes suivantes
Pour plus d’informations sur la configuration des tâches de génération, consultez notre guide de configuration ou guide de configuration YAML.
Si vous avez plus de questions sur l’extension et les outils proposés, consultez notre page FAQ.