Options de configuration YAML pour personnaliser les tâches de build
Notes
Le 31 décembre 2022, l’extension Microsoft Security Code Analysis (MSCA) a été supprimée. L’extension MSCA est remplacée par celle de Microsoft Security DevOps Azure DevOps. Suivez les instructions indiquées dans Configurer pour installer et configurer l’extension.
Cet article répertorie toutes les options de configuration YAML disponibles dans chacune des tâches de build. Il commence par les tâches correspondant aux outils d’analyse du code de sécurité. Il se termine par les tâches post-traitement.
Tâche Analyseur anti-programme malveillant
| InputType | Type | Applicable | Obligatoire | Valeur par défaut | Options (pour les listes déroulantes) | Description |
|---|---|---|---|---|---|---|
| InputType | Liste déroulante | toujours | True | De base | Basic, Custom | |
| ScanType | Liste déroulante | InputType = Basic | True | CustomScan | CustomScan, FullSystemScan, QuickScan, YourConfiguredScan | Type d’analyse à utiliser pour l’analyse du logiciel anti-programme malveillant. |
| FileDirPath | filePath | ScanType = CustomScan | True | $(Build.StagingDirectory) | Indique le fichier ou le répertoire à analyser. | |
| DisableRemediation | boolean | ScanType = CustomScan | False | true | Lorsque coché : 1) Les exclusions de fichiers sont ignorées. 2) Les fichiers d’archive sont analysés. 3) Les actions ne sont pas appliquées après la détection. 4) Les entrées du journal des événements ne sont pas écrites après la détection. 5) Les détections de l’analyse personnalisée ne sont pas affichées dans l’interface utilisateur. 6) La sortie de la console affiche la liste des détections de l’analyse personnalisée. | |
| BootSectorScan | boolean | ScanType = CustomScan | False | false | Si coché, active l’analyse du secteur de démarrage. | |
| Arguments | string | InputType = Custom | True | -Scan -ScanType 3 -DisableRemediation -File $(Build.StagingDirectory) | Arguments de ligne de commande, où l’argument pour -File est un chemin d’accès absolu, ou chemin d’accès relatif vers le $(Build.StagingDirectory) prédéfini sur votre agent de build. Remarque : Si vous ne fournissez pas d’argument pour -File comme dernier argument, la valeur par défaut est $(Build.StagingDirectory). Vous pouvez également fournir vos propres arguments autorisés par l’outil MpCmdRun.exe. Pour plus d’informations sur les arguments de ligne de commande pour cet outil, entrez -h ou -? dans le champ Arguments et exécutez la tâche de build. |
|
| EnableServices | boolean | toujours | True | false | Si coché, tentera d’activer les services requis pour Windows Update au cas où ils seraient désactivés. REMARQUE : Assurez-vous que la stratégie de groupe ne désactive pas les services et que le compte sous lequel s’exécute ce build possède des privilèges administrateur. |
|
| SupportLogOnError | boolean | toujours | True | false | Si coché, collecte les fichiers de support à des fins de diagnostic quand une erreur s’est produite. Cette opération peut prendre plusieurs minutes. REMARQUE : Assurez-vous que le compte sous lequel s’exécute ce build possède des privilèges administrateur. |
|
| TreatSignatureUpdateFailureAs | Liste déroulante | toujours | True | Avertissement | Error, Standard, Warning | Niveau de journal utilisé si la signature ne peut pas être mise à jour à l’exécution. Quand défini sur Error, l’échec de la mise à jour de la signature fera échouer la tâche de build. Notez qu’il est courant que la mise à jour de signature échoue sur les agents de build hébergés, même si la signature peut être relativement récente (moins de 3 heures). |
| SignatureFreshness | Liste déroulante | toujours | True | UpToDate | OneDay, ThreeDays, TwoDays, UpToDate | Âge maximal autorisé pour la signature du logiciel anti-programme malveillant. Si la signature ne peut pas être mise à jour et qu’elle est plus ancienne que cette valeur, la tâche de build se comportera conformément à la valeur sélectionnée dans le champ Valider l’âge des signatures comme. Remarque : Si vous choisissez UpToDate, les signatures sont autorisées à avoir jusqu’à 3 heures. |
| TreatStaleSignatureAs | Liste déroulante | toujours | True | Error | Error, Standard, Warning | Niveau de journal utilisé si l’âge de la signature est supérieur à l’âge de signature du logiciel anti-programme malveillant sélectionné. Une signature obsolète peut être traitée comme une valeur Warning ou Informational pour poursuivre l’analyse du logiciel anti-programme malveillant, mais cela n’est pas recommandé. |
Tâche BinSkim
| InputType | Type | Applicable | Obligatoire | Valeur par défaut | Options (pour les listes déroulantes) | Description |
|---|---|---|---|---|---|---|
| InputType | Liste déroulante | toujours | True | De base | Basic, CommandLine | |
| arguments | string | InputType = CommandLine | True | Arguments de ligne de commande BinSkim standard à exécuter. Le chemin de sortie sera supprimé et remplacé. Pour plus d’informations sur les arguments de ligne de commande pour cet outil, entrez aide dans le champ Arguments et exécutez la tâche de build. |
||
| Fonction | Liste déroulante | InputType = Basic | True | analyze | analyze, dump, exportConfig, exportRules | |
| AnalyzeTarget | filePath | InputType = Basic && Function = analyze | True | $(Build.ArtifactStagingDirectory)*.dll; $(Build.ArtifactStagingDirectory)*.exe |
Un ou plusieurs spécificateurs vers un modèle de fichier, de répertoire ou de filtre qui se résout en un ou plusieurs fichiers binaires à analyser. (liste séparée par un point-virgule « ; ») | |
| AnalyzeSymPath | string | InputType = Basic && Function = analyze | False | Chemin d’accès au fichier de symboles pour la cible. | ||
| AnalyzeConfigPath | string | InputType = Basic && Function = analyze | False | default | Chemin d’accès à un fichier de stratégie qui sera utilisé pour configurer l’analyse. Passe la valeur « default » pour utiliser les paramètres intégrés. | |
| AnalyzePluginPath | string | InputType = Basic && Function = analyze | False | Chemin d’accès à un plug-in qui sera appelé par rapport à toutes les cibles dans l’ensemble d’analyses. | ||
| AnalyzeRecurse | boolean | InputType = Basic && Function = analyze | False | true | Traite récursivement dans les sous-répertoires lors de l’évaluation des arguments du spécificateur de fichier. | |
| AnalyzeVerbose | boolean | InputType = Basic && Function = analyze | False | false | Émet une sortie détaillée. Le rapport complet qui en résulte est conçu pour fournir les preuves appropriées pour les scénarios de conformité. | |
| AnalyzeHashes | boolean | InputType = Basic && Function = analyze | False | false | Sortie de hachage SHA-256 de cibles d’analyse lors de l’émission de rapports SARIF. | |
| AnalyzeStatistics | boolean | InputType = Basic && Function = analyze | False | false | Génère le minutage et d’autres statistiques pour la session d’analyse. | |
| AnalyzeEnvironment | boolean | InputType = Basic && Function = analyze | False | false | Enregistre les détails de l’environnement machine du fichier run to output. AVERTISSEMENT : Cette option enregistre des informations potentiellement sensibles (telles que toutes les valeurs des variables d’environnement) dans tout journal émis. | |
| ExportRulesOutputType | Liste déroulante | InputType = Basic && Function = exportRules | False | SARIF | SARIF, SonarQube | Type de fichier descripteur de règles à générer. Celui-ci sera inclus dans le dossier de journaux BinSkim publié par la tâche de build Publier les journaux d’analyse de la sécurité. |
| DumpTarget | filePath | InputType = Basic && Function = dump | True | $(Build.ArtifactStagingDirectory) | Un ou plusieurs spécificateurs vers un modèle de fichier, de répertoire ou de filtre qui se résout en un ou plusieurs fichiers binaires à analyser. (liste séparée par un point-virgule « ; ») | |
| DumpRecurse | boolean | InputType = Basic && Function = dump | False | true | Traite récursivement dans les sous-répertoires lors de l’évaluation des arguments du spécificateur de fichier. | |
| DumpVerbose | boolean | InputType = Basic && Function = dump | False | true | Émet une sortie détaillée. Le rapport complet qui en résulte est conçu pour fournir les preuves appropriées pour les scénarios de conformité. | |
| toolVersion | Liste déroulante | toujours | False | Latest | 1.5.0, Latest, LatestPreRelease | Version de l’outil à exécuter. |
Tâche Credential Scanner
| InputType | Type | Applicable | Obligatoire | Valeur par défaut | Options (pour les listes déroulantes) | Description |
|---|---|---|---|---|---|---|
| outputFormat | Liste déroulante | toujours | False | pre | csv, pre, tsv | Format de sortie du fichier de résultats Credential Scanner. |
| toolVersion | Liste déroulante | toujours | False | Latest | 1.27.7, Latest, LatestPreRelease | Version de l’outil à exécuter. |
| scanFolder | filePath | toujours | False | $(Build.SourcesDirectory) | Dossier dans votre référentiel à analyser pour rechercher des informations d’identification. | |
| searchersFileType | Liste déroulante | toujours | False | Default | Custom, Default, DefaultAndCustom | Options pour localiser le fichier de recherches utilisé pour l’analyse. |
| searchersFile | filePath | searchersFileType == Custom OU searchersFileType == DefaultAndCustom | False | Fichier config de recherches Credential Scanner répertoriant des vérifications à exécuter. Plusieurs valeurs peuvent être incluses et utilisées en fournissant une liste, séparée par des virgules, de chemins d’accès aux fichiers de recherches Credential Scanner. | ||
| suppressionsFile | filePath | toujours | False | Fichier de suppressions Credential Scanner à utiliser pour supprimer les problèmes dans le journal de sortie. | ||
| suppressAsError | boolean | toujours | False | false | Les correspondances supprimées seront générées dans le fichier de sortie [-O]-matches.[-f] au lieu du fichier de sortie supprimé par défaut [-O]-suppressed.[-f]. (La valeur par défaut est « False ») | |
| verboseOutput | boolean | toujours | False | false | Informations détaillées de sortie. | |
| batchSize | string | toujours | False | Nombre de threads simultanés utilisés pour exécuter des Credential Scanners en parallèle. (La valeur par défaut est 20) La valeur doit être comprise dans la plage 1-2147483647. |
||
| regexMatchTimeoutInSeconds | string | toujours | False | Quantité de temps à passer à essayer une mise en correspondance d’un chercheur avant d’abandonner la vérification. Ajoute -Co RegexMatchTimeoutInSeconds=<Value> à la ligne de commande. |
||
| fileScanReadBufferSize | string | toujours | False | Taille en octets de la mémoire tampon pour la lecture du contenu. (La valeur par défaut est 524 288) Ajoute -Co FileScanReadBufferSize=<Value> à la ligne de commande. |
||
| maxFileScanReadBytes | string | toujours | False | Nombre maximal d’octets à lire dans un fichier donné lors de l’analyse du contenu. (La valeur par défaut est 104 857 600) Ajoute -Co MaxFileScanReadBytes=<Value> à la ligne de commande. |
Tâche Analyseurs Roslyn
| InputType | Type | Applicable | Obligatoire | Valeur par défaut | Options (pour les listes déroulantes) | Description |
|---|---|---|---|---|---|---|
| userProvideBuildInfo | Liste déroulante | toujours | True | auto | auto, msBuildInfo | Options permettant à un utilisateur de fournir la version MSBuild, l’architecture MSBuild et la ligne de commande de build pour l’analyse Roslyn. Si Auto est sélectionné, cette tâche récupère les informations de build des tâches (de build) MSBuild, VSBuild et/ou .NET Coreprécédentes dans le même pipeline. |
| msBuildVersion | Liste déroulante | userProvideBuildInfo == msBuildInfo | True | 16,0 | 15.0, 16.0 | Version de MSBuild. |
| msBuildArchitecture | Liste déroulante | userProvideBuildInfo == msBuildInfo | True | x86 | DotNetCore, x64, x86 | Architecture de MSBuild. Remarque : Si la ligne de commande de build appelle dotnet.exe build, choisissez l’option Via .NET Core. |
| msBuildCommandline | string | userProvideBuildInfo == msBuildInfo | True | Ligne de commande complète de la build pour la compilation de votre solution ou de vos projets. Remarques : La ligne de commande doit commencer par un chemin d’accès complet à MSBuild.exe ou dotnet.exe. La commande s’exécute avec $(Build.SourcesDirectory) en tant que répertoire de travail. |
||
| rulesetName | Liste déroulante | toujours | False | Recommandé | Custom, None, Recommended, Required | Ensemble de règles nommé à utiliser. Si Ruleset Configured In Your Visual Studio Project File(s) est choisi, l’ensemble de règles préconfiguré dans vos fichiers de projet VS sera utilisé. Si Custom est choisi, une option de chemin d’accès à un ensemble de règles personnalisé peut être définie. |
| rulesetVersion | Liste déroulante | rulesetName == Required OU rulesetName == Recommended | False | Latest | 8.0, 8.1, 8.2, Latest, LatestPreRelease | Version de l’ensemble de règles SDL choisi. |
| customRuleset | string | rulesetName = Custom | False | Chemin d’accès accessible à un ensemble de règles à utiliser. Les chemins d’accès relatifs sont normalisés à la racine du référentiel source ($(Build.SourcesDirectory)).Si l’ensemble de règles spécifie Rules avec Actions défini sur Error, la tâche de build échoue. Pour utiliser un ensemble de règles qui effectue cette opération, vérifiez Continue on error dans le paramètre Control Options de la tâche de build. |
||
| microsoftAnalyzersVersion | Liste déroulante | toujours | False | Latest | 2.9.3, 2.9.4, 2.9.6, Latest, LatestPreRelease | Version du package Microsoft.CodeAnalysis.FxCopAnalyzers à exécuter. |
| suppressionFileForCompilerWarnings | filePath | toujours | False | Fichier de suppressions pour supprimer les avertissements du compilateur VB et C#. Fichier texte brut avec chaque ID d’avertissement répertoriant une ligne distincte. Pour les avertissements du compilateur, spécifiez uniquement la partie numérique de l’identificateur de l’avertissement. Par exemple, 1018 supprimera CS1018, et CA1501 supprimera CA1501. Un chemin d’accès relatif est ajouté à la racine du référentiel source ( $(Build.SourcesDirectory)). |
Tâche TSLint
| InputType | Type | Applicable | Obligatoire | Valeur par défaut | Options (pour les listes déroulantes) | Description |
|---|---|---|---|---|---|---|
| RuleLibrary | Liste déroulante | toujours | True | tslint | custom, microsoft, tslint | Tous les résultats incluent les règles fournies avec la version sélectionnée de TSLint (base uniquement). Base uniquement : uniquement les règles fournies avec TSLint. Inclure les règles Microsoft : Télécharge tslint-microsoft-contrib et inclut ses règles pour qu’elles soient disponibles lors de l’exécution de TSLint. Le choix de cette option masque la case à cocher Type Checking, car elle est requise par les règles de Microsoft et sera automatiquement utilisée. Il affiche également le champ Microsoft Contribution Version, ce qui permet de sélectionner une version du tslint-microsoft-contrib à partir de npm.Inclure des règles personnalisées : affiche le champ Rules Directory, qui accepte un chemin accessible à un répertoire de règles TSLint pour qu’elles soient disponibles lors l’exécution de TSLint.Remarque : La valeur par défaut a été remplacée par tslint, car de nombreux utilisateurs ont rencontré des problèmes lors de la configuration de l’ensemble de règles Microsoft. Pour une configuration de version spécifique, consultez tslint-microsoft-contrib on GitHub. |
| RulesDirectory | string | RuleLibrary == custom | True | Répertoire accessible contenant des règles TSLint supplémentaires à utiliser dans l’exécution de TSLint. | ||
| Ruleset | Liste déroulante | RuleLibrary != microsoft | True | tsrecommended | custom, tslatest, tsrecommended | Définit les règles à exécuter sur les fichiers TypeScript. tslint:latest - étend tslint:recommended et est continuellement mis à jour pour inclure la configuration des règles les plus récentes dans chaque version TSLint. L’utilisation de cette configuration peut générer des changements cassants entre les versions mineures, dans la mesure où de nouvelles règles sont activées, ce qui entraîne des défaillances Lint dans votre code. Quand TSLint atteint un obstacle important dans la version, tslint:recommended est mis à jour pour être identique à tslint:latest.tslint:recommended - ensemble de règles stable et quelque peu orienté que TSLint encourage pour la programmation TypeScript générale. Cette configuration suit semver, de sorte qu’il n’y aura pas de changements cassants entre les versions mineures ou les correctifs. |
| RulesetMicrosoft | Liste déroulante | RuleLibrary == microsoft | True | mssdlrequired | custom, msrecommended, mssdlrecommended, mssdlrequired, tslatest, tsrecommended | Définit les règles à exécuter sur les fichiers TypeScript. microsoft:sdl-required - exécute toutes les vérifications disponibles fournies par tslint et les règles tslint-microsoft-contrib qui satisfont aux stratégies Security Development Lifecycle (SDL)requises. microsoft:sdl-recommended - exécute toutes les vérifications disponibles fournies par tslint et les règles tslint-microsoft-contrib qui satisfont aux stratégies Security Development Lifecycle (SDL)requises et recommandées. microsoft:recommended Toutes les vérifications recommandées par les créateurs des règles tslint-microsoft-contrib. Cela comprend les vérifications de sécurité et celles non liées à la sécurité. tslint:latest - étend tslint:recommended et est continuellement mis à jour pour inclure la configuration des règles les plus récentes dans chaque version TSLint. L’utilisation de cette configuration peut introduire des changements cassants entre les versions mineures, dans la mesure où de nouvelles règles sont activées, ce qui entraîne des défaillances Lint dans votre code. Quand TSLint atteint un obstacle important dans la version, tslint:recommended est mis à jour pour être identique à tslint:latest.tslint:recommended - ensemble de règles stable et quelque peu orienté que TSLint encourage pour la programmation TypeScript générale. Cette configuration suit semver, de sorte qu’il n’y aura pas de changements cassants entre les versions mineures ou les correctifs. |
| RulesetFile | string | Ruleset == custom OU RulesetMicrosoft == custom | True | Fichier config spécifiant les règles à exécuter. Le chemin d’accès à la configuration sera ajouté en tant que chemin d’accès pour des règles personnalisées. |
||
| FileSelectionType | Liste déroulante | toujours | True | fileGlob | fileGlob, projectFile | |
| Fichiers | string | FileSelectionType == fileGlob | True | ***.ts | Glob de fichiers qui détermine les fichiers à traiter. Les chemins d’accès sont relatifs à la valeur Build.SourcesDirectory.La bibliothèque de contributions de Microsoft requiert l’utilisation d’un Fichier projet. Si vous utilisez la bibliothèque de contributions de Microsoft avec l’option File Glob Pattern, un Fichier projet est généré pour vous. |
|
| ECMAScriptVersion | Liste déroulante | FileSelectionType == fileGlob && RuleLibrary == microsoft | True | ES3 | ES2015, ES2016, ES2017, ES3, ES5, ES6, ESNext | Version cible d’ECMAScript configurée avec votre compilateur TypeScript. Lors de l’utilisation d’un Fichier projet, il s’agit du champ compilerOptions.target de votre fichier tsconfig.json TypeScript. |
| Projet | string | FileSelectionType == projectFile | True | Chemin d’accès à un fichier tsconfig.json qui spécifie les fichiers TypeScript sur lesquels exécuter TSLint. Les chemins d’accès sont relatifs à la valeur Build.SourcesDirectory. |
||
| TypeCheck | boolean | RuleLibrary != microsoft && FileSelectionType == projectFile | False | true | Active l’outil de vérification du type lors de l’exécution de règles de linting. | |
| ExcludeFiles | string | toujours | False | Glob qui indique les fichiers à exclure du linting. Les chemins d’accès sont relatifs à la valeur Build.SourcesDirectory. Vous pouvez spécifier plusieurs valeurs en les séparant par des points-virgules. |
||
| OutputFormat | Liste déroulante | toujours | True | json | checkstyle, codeFrame, filesList, json, msbuild, pmd, prose, stylish, verbose, vso | Formateur à utiliser pour générer la sortie. Notez que le format JSON est compatible avec l’analyse postérieure. |
| NodeMemory | string | toujours | False | Quantité explicite en Mo de mémoire à allouer au nœud pour l’exécution de TSLint. Exemple : 8000 Mappe vers l’option CLI --max_old_space=<value> pour le nœud, qui est une v8 option. |
||
| ToolVersion | Liste déroulante | RuleLibrary != microsoft | True | latest | 4.0.0, 4.0.1, 4.0.2, 4.1.0, 4.1.1, 4.2.0, 4.3.0, 4.3.1, 4.4.0, 4.4.1, 4.4.2, 4.5.0, 4.5.1, 5.0.0, 5.1.0, 5.2.0, 5.3.0, 5.3.2, 5.4.0, 5.4.1, 5.4.2, 5.4.3, 5.5.0, latest | Version de TSLint à télécharger et à exécuter. |
| TypeScriptVersion | Liste déroulante | toujours | True | latest | 0.8.0, 0.8.1, 0.8.2, 0.8.3, 0.9.0, 0.9.1, 0.9.5, 0.9.7, 1.0.0, 1.0.1, 1.3.0, 1.4.1, 1.5.3, 1.6.2, 1.7.3, 1.7.5, 1.8.0, 1.8.10, 1.8.2, 1.8.5, 1.8.6, 1.8.7, 1.8.9, 1.9.0, 2.0.0, 2.0.10, 2.0.2, 2.0.3, 2.0.6, 2.0.7, 2.0.8, 2.0.9, 2.1.1, 2.1.4, 2.1.5, 2.1.6, 2.2.0, 2.2.1, custom, latest | Version de TypeScript à télécharger et à utiliser. Remarque : Il doit s’agir de la même version de TypeScript que celle utilisée pour compiler votre code. |
| TypeScriptVersionCustom | string | TypeScriptVersion == custom | True | latest | Version de TypeScript à télécharger et à utiliser. Remarque : Il doit s’agir de la même version de TypeScript que celle utilisée pour compiler votre code. |
|
| MicrosoftContribVersion | Liste déroulante | RuleLibrary == microsoft | latest | 4.0.0, 4.0.1, 5.0.0, 5.0.1, latest | Version de tslint-microsoft-contrib (règles SDL) à télécharger et à utiliser. Remarque : la version de tslint sera choisie et compatible avec la version choisie pour tslint-microsoft-contrib. Les mises à jour apportées à tslint-microsoft-contrib. seront contrôlées par cette tâche de build, jusqu’à ce qu’une période de test puisse se produire. |
Tâche Publier les journaux d’analyse de la sécurité
| InputType | Type | Applicable | Obligatoire | Valeur par défaut | Options (pour les listes déroulantes) | Description |
|---|---|---|---|---|---|---|
| ArtifactName | string | toujours | True | CodeAnalysisLogs | Nom de l’artefact à créer. | |
| ArtifactType | Liste déroulante | toujours | True | Conteneur | Container, FilePath | Type de l’artefact à créer. |
| TargetPath | string | ArtifactType = FilePath | False | \my\share$(Build.DefinitionName) $(Build.BuildNumber) |
Partage de fichiers dans lequel copier les fichiers. | |
| AllTools | boolean | toujours | True | true | Publie les résultats générés par toutes les tâches de build d’outils de développement sécurisés. | |
| AntiMalware | boolean | AllTools = false | True | true | Publie les résultats générés par les tâches de build de logiciel anti-programme malveillant. | |
| BinSkim | boolean | AllTools = false | True | true | Publie les résultats générés par les tâches de build BinSkim. | |
| CredScan | boolean | AllTools = false | True | true | Publie les résultats générés par les tâches de build Credential Scanner. | |
| RoslynAnalyzers | boolean | AllTools = false | True | false | Publie les résultats générés par les tâches de build d’analyseurs Roslyn. | |
| TSLint | boolean | AllTools = false | True | true | Publie les résultats générés par les tâches de build TSLint. Notez que seuls les journaux TSLint au format JSON sont pris en charge pour les rapports. Si vous avez choisi un autre format, mettez à jour votre tâche de build TSLint en conséquence. | |
| ToolLogsNotFoundAction | Liste déroulante | toujours | True | standard | Error, None, Standard, Warning | L’action à effectuer lorsque les journaux d’un outil sélectionné (ou de tout outil si la case Tous les outils est cochée) sont introuvables, ce qui implique que l’outil n’a pas été exécuté. Options : None: Le message est écrit dans le flux de sortie détaillé accessible uniquement en paramétrant la variable VSTS system.debug sur true. Standard : (Par défaut) Écrit un message de sortie standard indiquant qu’aucun journal n’a été trouvé pour l’outil. Avertissement : Écrit un message d’avertissement jaune signalant qu’aucun journal n’a été trouvé pour l’outil, qui s’affiche dans la page Résumé de la build comme un avertissement. Erreur : Écrit un message d’erreur rouge et lève une exception, ce qui arrête la build. Utilisez cette option pour vous assurer, grâce à des choix d’outils individuels, quels outils ont été exécutés. |
Tâche Rapport de sécurité
| InputType | Type | Applicable | Obligatoire | Valeur par défaut | Options (pour les listes déroulantes) | Description |
|---|---|---|---|---|---|---|
| VstsConsole | boolean | toujours | False | true | Écrit les résultats dans la console de pipeline. | |
| TsvFile | boolean | toujours | False | true | Génère un fichier tsv (valeurs séparées par une tabulation) avec une ligne par résultat trouvé et des tabulations qui séparent les informations du résultat. | |
| HtmlFile | boolean | toujours | False | true | Génère un fichier de rapport html. | |
| AllTools | boolean | toujours | True | false | Rapporte les résultats générés par toutes les tâches de build d’outils de développement sécurisés. | |
| BinSkim | boolean | AllTools = false | True | false | Rapporte les résultats générés par les tâches de build BinSkim. | |
| BinSkimBreakOn | Liste déroulante | AllTools = true OU BinSkim = true | True | Error | Error, WarningAbove | Niveau de résultats à signaler. |
| CredScan | boolean | AllTools = false | True | false | Rapporte les résultats générés par les tâches de build Credential Scanner. | |
| RoslynAnalyzers | boolean | AllTools = false | True | false | Rapporte les résultats générés par les tâches de build d’analyseurs Roslyn. | |
| RoslynAnalyzersBreakOn | Liste déroulante | AllTools = true OU RoslynAnalyzers = true | True | Error | Error, WarningAbove | Niveau de résultats à signaler. |
| TSLint | boolean | AllTools = false | True | false | Rapporte les résultats générés par les tâches de build TSLint. Notez que seuls les journaux TSLint au format JSON sont pris en charge pour les rapports. Si vous avez choisi un autre format, mettez à jour votre tâche de build TSLint en conséquence. | |
| TSLintBreakOn | Liste déroulante | AllTools = true OU TSLint = true | True | Error | Error, WarningAbove | Niveau de résultats à signaler. |
| ToolLogsNotFoundAction | Liste déroulante | toujours | True | standard | Error, None, Standard, Warning | L’action à effectuer lorsque les journaux d’un outil sélectionné (ou de tout outil si la case Tous les outils est cochée) sont introuvables, ce qui implique que l’outil n’a pas été exécuté. Options : None: Le message est écrit dans le flux de sortie détaillé accessible uniquement en paramétrant la variable VSTS system.debug sur true. Standard : (Par défaut) Écrit un message de sortie standard indiquant qu’aucun journal n’a été trouvé pour l’outil. Avertissement : Écrit un message d’avertissement jaune signalant qu’aucun journal n’a été trouvé pour l’outil, qui s’affiche dans la page Résumé de la build comme un avertissement. Erreur : Écrit un message d’erreur rouge et lève une exception, ce qui arrête la build. Utilisez cette option pour vous assurer, grâce à des choix d’outils individuels, quels outils ont été exécutés. |
| CustomLogsFolder | string | toujours | False | Dossier de base dans lequel se trouvent les journaux des outils d’analyse ; les fichiers journaux individuels se trouvent dans des sous-dossiers portant le nom de chaque outil, sous ce chemin d’accès. |
Tâche Post-analyse
| InputType | Type | Applicable | Obligatoire | Valeur par défaut | Options (pour les listes déroulantes) | Description |
|---|---|---|---|---|---|---|
| AllTools | boolean | toujours | True | false | Arrête la build si des problèmes sont détectés par une tâche de build Microsoft Security Code Analysis. | |
| BinSkim | boolean | AllTools = false | True | false | Arrête la build si des problèmes BinSkim sont détectés, en fonction de l’option Break On sélectionnée. | |
| BinSkimBreakOn | Liste déroulante | AllTools = true OU BinSkim = true | True | Error | Error, WarningAbove | Niveau de problèmes à atteindre pour arrêter la build. |
| CredScan | boolean | AllTools = false | True | false | Arrête la build si des problèmes Credential Scanner sont détectés. | |
| RoslynAnalyzers | boolean | AllTools = false | True | false | Arrête la build si des problèmes d’analyseurs Roslyn sont détectés. | |
| RoslynAnalyzersBreakOn | Liste déroulante | AllTools = true OU RoslynAnalyzers = true | True | Error | Error, WarningAbove | Niveau de problèmes à atteindre pour arrêter la build. |
| TSLint | boolean | AllTools = false | True | false | Arrête la build si des problèmes TSLint sont détectés. Notez que seuls les journaux TSLint au format JSON sont pris en charge pour l’analyse postérieure. Si vous avez choisi un autre format, mettez à jour votre tâche de build TSLint en conséquence. | |
| TSLintBreakOn | Liste déroulante | AllTools = true OU TSLint = true | True | Error | Error, WarningAbove | Niveau de problèmes à atteindre pour arrêter la build. |
| VstsConsole | boolean | toujours | False | true | Écrit les résultats dans la console de pipeline. | |
| ToolLogsNotFoundAction | Liste déroulante | toujours | True | standard | Error, None, Standard, Warning | L’action à effectuer lorsque les journaux d’un outil sélectionné (ou de tout outil si la case Tous les outils est cochée) sont introuvables, ce qui implique que l’outil n’a pas été exécuté. Options : None: Le message est écrit dans le flux de sortie détaillé accessible uniquement en paramétrant la variable VSTS system.debug sur true. Standard : (Par défaut) Écrit un message de sortie standard indiquant qu’aucun journal n’a été trouvé pour l’outil. Avertissement : Écrit un message d’avertissement jaune signalant qu’aucun journal n’a été trouvé pour l’outil, qui s’affiche dans la page Résumé de la build comme un avertissement. Erreur : Écrit un message d’erreur rouge et lève une exception, ce qui arrête la build. Utilisez cette option pour vous assurer, grâce à des choix d’outils individuels, quels outils ont été exécutés. |
Étapes suivantes
Si vous avez d'autres questions sur l'extension Microsoft Security Code Analysis et les outils proposés, consultez notre page Forum aux questions.