Tudnivalók a Microsoft biztonsági kódelemzéséről

  • Cikk

Megjegyzés

2022. december 31-től megszűnik a Microsoft Security Code Analysis (MSCA) bővítmény. Az MSCA-t a Microsoft Security DevOps Azure DevOps bővítmény váltja fel. A bővítmény telepítéséhez és konfigurálásához kövesse a Konfigurálás című témakör utasításait.

A Microsoft Security Code Analysis bővítménnyel a csapatok biztonsági kódelemzést adhatnak az Azure DevOps folyamatos integrációs és kézbesítési (CI/CD) folyamataihoz. Ezt az elemzést a Microsoft Biztonságos fejlesztési életciklus (SDL) szakértői javasolják.

A konzisztens felhasználói felület leegyszerűsíti a biztonságot azáltal, hogy elrejti az eszközök futtatásának összetettségét. Az eszközök NuGet-alapú kézbesítésével a csapatoknak már nem kell felügyelni az eszközök telepítését vagy frissítését. A buildelési feladatok parancssori és alapszintű felületeivel minden felhasználó a kívánt módon szabályozhatja az eszközöket.

A Csapatok hatékony utófeldolgozási képességeket is használhatnak, például:

  • Naplók közzététele megőrzés céljából.
  • Végrehajtható, fejlesztőközpontú jelentések létrehozása.
  • Buildtörések konfigurálása regressziós tesztekhez.

Miért érdemes a Microsoft Biztonsági kódelemzést használni?

A biztonság leegyszerűsítve

A Microsoft Biztonsági kódelemzési eszközök hozzáadása az Azure DevOps-folyamathoz ugyanolyan egyszerű, mint új feladatok hozzáadása. Testre szabhatja a feladatokat, vagy használhatja az alapértelmezett viselkedésüket. A feladatok az Azure DevOps-folyamat részeként futnak, és olyan naplókat hoznak létre, amelyek számos eredményt részleteznek.

Tiszta buildek

Az eszközök által jelentett kezdeti problémák megoldása után konfigurálhatja a bővítményt az új problémák buildjeinek megszakítására. A folyamatos integráció beállítása minden lekéréses kérelemre egyszerű.

Állítsa be, és felejtse el

Alapértelmezés szerint a buildelési feladatok és eszközök naprakészek maradnak. Ha egy eszköz frissített verziója van, nem kell letöltenie és telepítenie. A bővítmény gondoskodik a frissítésről.

technikai részletek

A bővítmény buildelési feladatai elrejtik a következő összetettségeket:

  • Biztonsági statikus elemzési eszközök futtatása.
  • A naplófájlok eredményeinek feldolgozása összefoglaló jelentés létrehozásához vagy a build megszakításához.

Microsoft Security Code Analysis eszközkészlet

A Microsoft Security Code Analysis bővítmény a fontos elemzőeszközök legújabb verzióit teszi elérhetővé. A bővítmény a Microsoft által felügyelt eszközöket és a nyílt forráskódú eszközöket is tartalmazza.

Ezek az eszközök automatikusan letöltődnek a felhőben üzemeltetett ügynökre, miután a megfelelő buildelési feladat használatával konfigurálta és futtatta a folyamatot.

Ez a szakasz felsorolja a bővítményben jelenleg elérhető eszközök készletét. Nézze meg, hogy további eszközöket is felvesz-e. Küldje el nekünk javaslatait azokhoz az eszközökhöz, amelyeket fel szeretne venni.

Kártevőirtó szkenner

A Kártevőirtó szkenner buildelési feladata már szerepel a Microsoft Biztonsági kódelemzés bővítményben. Ezt a feladatot olyan fordítóügynökön kell futtatni, amely már telepítve Windows Defender. További információt a Windows Defender webhelyén talál.

BinSkim

A BinSkim egy hordozható végrehajtható (PE) egyszerűsített szkenner, amely ellenőrzi a fordító beállításait, a linker beállításait és a bináris fájlok egyéb biztonsági szempontból releváns jellemzőit. Ez a buildelési feladat parancssori burkolót biztosít a binskim.exe konzolalkalmazás körül. A BinSkim egy nyílt forráskódú eszköz. További információ: BinSkim a GitHubon.

Hitelesítőadat-ellenőrző

A forráskódban tárolt jelszavak és egyéb titkos kódok jelentős problémát jelentenek. A Credential Scanner egy saját fejlesztésű statikus elemzési eszköz, amely segít megoldani ezt a problémát. Az eszköz észleli a hitelesítő adatokat, titkos kódokat, tanúsítványokat és egyéb bizalmas tartalmakat a forráskódban és a build kimenetében.

Roslyn-elemzők

A Roslyn Analyzers a Microsoft fordítóval integrált eszköze a felügyelt C# és Visual Basic kód statikus elemzéséhez. További információ: Roslyn-alapú elemzők.

TSLint

A TSLint egy bővíthető statikus elemző eszköz, amely ellenőrzi a TypeScript-kód olvashatóságát, karbantarthatóságát és a funkciók hibáit. Ezt széles körben támogatják a modern szerkesztők és buildrendszerek. Testre szabhatja a saját lint szabályaival, konfigurációival és formázóival. A TSLint egy nyílt forráskódú eszköz. További információ: TSLint a GitHubon.

Az eredmények elemzése és utófeldolgozása

A Microsoft Security Code Analysis bővítmény három utófeldolgozási feladattal is rendelkezik. Ezek a feladatok segítenek elemezni a biztonsági eszközök feladatai által talált eredményeket. Amikor hozzáadja őket egy folyamathoz, ezek a tevékenységek általában az összes többi eszköztevékenységet követik.

Biztonsági elemzési naplók közzététele

A Biztonsági elemzési naplók közzététele összeállítási feladat megőrzi a buildelés során futtatott biztonsági eszközök naplófájljait. Ezeket a naplókat a vizsgálathoz és a nyomon követéshez olvashatja.

A naplófájlokat közzéteheti az Azure Artifactsben .zip fájlként. A privát fordítóügynökből is másolhatja őket egy akadálymentes fájlmegosztásba.

Biztonsági jelentés

A biztonsági jelentés buildelési feladata elemzi a naplófájlokat. Ezeket a fájlokat a buildelés során futó biztonsági eszközök hozzák létre. A buildelési feladat ezután egyetlen összefoglaló jelentésfájlt hoz létre. Ez a fájl az elemzőeszközök által talált összes problémát megjeleníti.

Ezt a feladatot úgy konfigurálhatja, hogy az adott eszközök vagy az összes eszköz eredményeit jelentse. Azt is kiválaszthatja, hogy milyen problémaszintet jelentsen, például csak a hibákat, vagy a hibákat és a figyelmeztetéseket is.

Elemzés utáni (buildtörés)

Az Elemzés utáni buildelési feladattal olyan buildtörést szúrhat be, amely szándékosan a build sikertelenségéhez vezet. Buildtörést szúr be, ha egy vagy több elemzőeszköz hibát jelez a kódban.

Ezt a feladatot úgy konfigurálhatja, hogy megszakítsa az adott eszközök vagy az összes eszköz által észlelt problémák buildelt állapotát. A konfigurációt a talált problémák súlyossága, például hibák vagy figyelmeztetések alapján is konfigurálhatja.

Megjegyzés

Ha a feladat sikeresen befejeződött, minden buildelési feladat sikeres lesz. Ez igaz arra, hogy az eszközök találnak-e problémákat, így a build a befejezésig futhat az összes eszköz futtatásának engedélyezésével.

Következő lépések

A Microsoft Security Code Analysis előkészítésével és telepítésével kapcsolatos utasításokért tekintse meg az előkészítési és telepítési útmutatót.

A buildelési feladatok konfigurálásával kapcsolatos további információkért tekintse meg a konfigurációs útmutatót vagy a YAML konfigurációs útmutatóját.

Ha további kérdései vannak a bővítménnyel és a kínált eszközökkel kapcsolatban, tekintse meg a GYIK oldalt.