Intégration et installation
Notes
Le 31 décembre 2022, l’extension Microsoft Security Code Analysis (MSCA) a été supprimée. L’extension MSCA est remplacée par celle de Microsoft Security DevOps Azure DevOps. Suivez les instructions indiquées dans Configurer pour installer et configurer l’extension.
Conditions préalables pour commencer à utiliser Microsoft Security Code Analysis :
- Une offre de Support unifié Microsoft éligible, telle que mentionnée dans la section suivante.
- Une organisation Azure DevOps.
- L’autorisation d’installer des extensions à l’organisation Azure DevOps.
- Un code source qui peut être synchronisé avec un pipeline Azure DevOps hébergé dans le cloud.
Intégration de l’extension Microsoft Security Code Analysis
Vous souhaitez acheter l’extension Microsoft Security Code Analysis ?
Si vous disposez de l’une des offres de support suivantes, contactez votre responsable technique de compte pour acheter ou échanger des heures existantes afin d’accéder à l’extension :
- Niveau avancé de Support unifié
- Niveau de performance de Support unifié
- Support Premier pour les développeurs
- Support Premier pour les partenaires
- Support Premier pour l’entreprise
Si vous n’avez pas l’un des contrats de support susmentionnés, vous pouvez acheter l’extension auprès de l’un de nos partenaires.
Étapes suivantes :
Si vous disposez des qualifications ci-dessus, contactez un partenaire de la liste ci-dessous pour acheter l’extension Microsoft Security Code Analysis. Sinon, contactez le support de Microsoft Security Code Analysis.
Partenaires :
- Zones – Coordonnées : cloudsupport@zones.com
- Wortell – Coordonnées : info@wortell.nl
- Logique - Coordonnées : logicalisleads@us.logicalis.com
Devenir partenaire
L’équipe Microsoft Security Code Analysis cherche à intégrer des partenaires à un contrat Support Premier pour les partenaires. Les partenaires aideront les clients Azure DevOps à développer de façon plus sécurisée en vendant l’extension aux clients qui souhaitent l’acheter, mais qui n’ont pas de contrat Support Entreprise avec Microsoft. Les partenaires intéressés peuvent s’inscrire ici.
Installation de l’extension Microsoft Security Code Analysis
- Une fois l’extension partagée avec votre organisation Azure DevOps, accédez à la page de votre organisation Azure DevOps.
https://dev.azure.com/contoso
est un exemple d’URL pour une telle page. - Sélectionnez l’icône de panier d’achat en haut à droite à côté de votre nom, puis Gérer les extensions.
- Sélectionnez Partagé.
- Sélectionnez l’extension Microsoft Security Code Analysis, puis Installer.
- Dans la liste déroulante, choisissez l’organisation Azure DevOps sur laquelle installer l’extension.
- Sélectionnez Installer. Une fois l’installation terminée, vous pouvez commencer à l’utiliser.
Notes
Même si vous n’avez pas accès à l’installation de l’extension, poursuivez avec les étapes d’installation. Vous pouvez demander l’accès à l’administrateur de votre organisation Azure DevOps lors du processus d’installation.
Une fois l’extension installée, les tâches de build de développement sécurisé sont visibles et disponibles pour l’ajout à vos Azure Pipelines.
Ajout de tâches de build spécifiques à votre pipeline Azure DevOps
- À partir de votre organisation Azure DevOps, ouvrez votre projet d’équipe.
- Sélectionnez Pipelines>Builds.
- Sélectionnez le pipeline auquel vous voulez ajouter les tâches de build de l’extension :
- Nouveau pipeline : Sélectionnez Nouveau, puis suivez les étapes détaillées pour créer un pipeline.
- Modifier le pipeline : Sélectionnez un pipeline, puis sélectionner Modifier pour commencer à le modifier.
- Sélectionnez +, puis accédez au volet Ajouter des tâches.
- Dans la liste ou via la zone de recherche, recherchez la tâche de build à ajouter. Sélectionnez Ajouter.
- Spécifiez les paramètres nécessaires pour la tâche.
- Placez une nouvelle build dans la file d'attente.
Notes
Les chemins d’accès de fichier et de dossier sont relatifs à la racine de votre référentiel source. Si vous spécifiez les fichiers et les dossiers de sortie en tant que paramètres, ils sont remplacés par l’emplacement commun que nous avons défini sur l’agent de build.
Conseil
- Pour exécuter une analyse après votre build, placez les tâches de build de Microsoft Security Code Analysis après l’étape Publier les artefacts de build de votre build. De cette façon, votre build peut se terminer et publier les résultats avant d’exécuter les outils d’analyse statique.
- Activez toujours l’option Continuer en cas d’erreur pour les tâches de build de développement sécurisé. Même si l’un des outils échoue, les autres peuvent s’exécuter. Il n’y a aucune interdépendance entre les outils.
- Les tâches de build de Microsoft Security Code Analysis échouent uniquement en cas d’échec d’exécution d’un outil. Mais elles fonctionnent même si un outil identifie des problèmes dans le code. Vous pouvez configurer votre build pour qu’elle échoue quand un outil identifie des problèmes dans le code en utilisant la tâche de build Post-analyse.
- Certaines tâches de build d’Azure DevOps ne sont pas prises en charge quand elles sont exécutées via un pipeline de mise en production. Plus précisément, Azure DevOps ne prend pas en charge les tâches qui publient des artefacts à partir d’un pipeline de mise en production.
- Pour obtenir la liste des variables prédéfinies dans Azure DevOps Team Build que vous pouvez spécifier en tant que paramètres, voir Variables de build d’Azure DevOps.
Étapes suivantes
Pour plus d’informations sur la configuration des tâches de build, consultez notre Guide de configuration ou notre Guide de configuration YAML.
Si vous avez d’autres questions sur l’extension et les outils proposés, voir notre page FAS.