Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Megjegyzés
2022. december 31-től megszűnik a Microsoft Security Code Analysis (MSCA) bővítmény. Az MSCA helyébe a Microsoft Security DevOps Azure DevOps bővítmény lép. A bővítmény telepítéséhez és konfigurálásához kövesse a Konfigurálás című témakör utasításait.
Ez a cikk részletesen ismerteti az egyes buildelési feladatokban elérhető konfigurációs beállításokat. A cikk a biztonsági kódelemzési eszközök feladataival kezdődik. Az utófeldolgozási feladatokkal végződik.
Kártevőirtó-ellenőrző feladat
Megjegyzés
A Kártevőirtó scanner buildelési feladatához engedélyezni kell a Windows Defenderrel rendelkező buildügynököt. A Visual Studio 2017 és az újabb verziók hosztolt környezetben biztosítanak ilyen ügynököt. A buildelési feladat nem fut a Visual Studio 2015 által üzemeltetett ügynökön.
Bár az aláírások nem frissíthetők ezeken az ügynökökön, az aláírásoknak mindig három óránál rövidebbnek kell lenniük.
A feladatkonfiguráció részletei az alábbi képernyőképen és szövegben láthatók.
A képernyőkép Típus listájában az Alapszintű elem van kiválasztva. Az Egyéni lehetőséget választva olyan parancssori argumentumokat adhat meg, amelyek testre szabják a vizsgálatot.
A Windows Defender a Windows Update-ügyfél használatával tölti le és telepíti az aláírásokat. Ha az aláírás frissítése sikertelen a buildügynökön, a HRESULT hibakód valószínűleg a Windows Update-ből származik.
A Windows Update-hibákkal és azok elhárításával kapcsolatos további információkért tekintse meg a Windows Update hibakódjait összetevőnként , valamint a TechNet Windows Update Agent – Hibakódok című cikkét.
A feladat YAML-konfigurációjáról további információt a Kártevőirtó YAML-beállításokban talál.
BinSkim tevékenység
Megjegyzés
A BinSkim-feladat futtatása előtt a buildnek meg kell felelnie az alábbi feltételek egyikének:
- A build bináris összetevőket hoz létre felügyelt kódból.
- Bináris összetevőket véglegesített, amelyeket a BinSkim használatával szeretne elemezni.
A feladatkonfiguráció részletei az alábbi képernyőképen és listában láthatók.
- Állítsa be a buildkonfigurációt hibakeresésre, hogy a .pdb hibakeresési fájlok létre legyenek hozva. A BinSkim ezeket a fájlokat használja a kimeneti bináris fájlok hibáinak forráskódra való leképezéséhez.
- A saját parancssor kutatásának és létrehozásának elkerülése érdekében:
- A Típus listában válassza az Alapszintű lehetőséget.
- A függvénylistában válassza az Elemzés lehetőséget.
- A Cél mezőben adjon meg egy vagy több megadót egy fájlhoz, könyvtárhoz vagy szűrőmintához. Ezek a definiálók egy vagy több elemezendő bináris fájlt oldanak fel:
- Több megadott célhelyet pontosvesszővel kell elválasztani (;).
- A kijelölők lehetnek egyetlen fájlok, vagy helyettesítő karaktereket tartalmazhatnak.
- A címtár-specifikációknak mindig \*-val kell végződniük.
- Példák:
*.dll;*.exe
$(BUILD_STAGINGDIRECTORY)\*
$(BUILD_STAGINGDIRECTORY)\*.dll;$(BUILD_STAGINGDIRECTORY)\*.exe;
- Ha a Típus listában a parancssort választja, binskim.exekell futtatnia:
- Győződjön meg arról, hogy a binskim.exe első argumentuma az elemez ige, amelyet egy vagy több elérésiút-specifikáció követ. Minden elérési út lehet teljes elérési út vagy a forráskönyvtárhoz viszonyított elérési út.
- Több cél útvonalat szóközzel kell elválasztani.
- Kihagyhatja az /o vagy a /output lehetőséget. Az eredményérték hozzáadódik vagy lecserélődik.
- A szabványos parancssori konfigurációk az alábbiak szerint jelennek meg.
analyze $(Build.StagingDirectory)\* --recurse --verbose
analyze *.dll *.exe --recurse --verbose
Megjegyzés
A végén lévő \* fontos, ha könyvtárakat ad meg célként.
A BinSkim parancssori argumentumairól, az azonosítók vagy kilépési kódok szerinti szabályokról a BinSkim felhasználói útmutatójában talál további információt.
A feladat YAML-konfigurációjáról további információt a BinSkim YAML-beállításaiban talál.
Hitelesítőadat-ellenőrző feladat
A feladatkonfiguráció részletei az alábbi képernyőképen és listában láthatók.
Az elérhető lehetőségek a következők:
- Megjelenítendő név: Az Azure DevOps-feladat neve. Az alapértelmezett érték a Hitelesítőadat-olvasó futtatása
- Eszköz főverziója: Az elérhető értékek közé tartozik a CredScan V2, a CredScan V1. Javasoljuk, hogy az ügyfelek a CredScan V2 verziót használják.
- Kimeneti formátum: Az elérhető értékek közé tartozik a TSV, a CSV, a SARIF és a PREfast.
- Eszközverzió: Javasoljuk, hogy válassza a Legújabb lehetőséget.
- Beolvasási mappa: A vizsgálandó adattármappa.
- Keresők fájltípusa: A kereséshez használt keresőfájl megkeresésének beállításai.
- Letiltó fájl: A JSON-fájlok letilthatják a kimeneti napló hibáit. A letiltási forgatókönyvekkel kapcsolatos további információkért tekintse meg a cikk GYIK szakaszát.
- Részletes kimenet: magától értetődő.
- Kötegméret: A Hitelesítőadat-olvasó futtatásához használt egyidejű szálak száma. Az alapértelmezett érték 20. A lehetséges értékek 1 és 2 147 483 647 között mozognak.
- Egyezés időtúllépése: Az az idő másodpercben, ameddig a kereső próbál egyezést találni, mielőtt feladja a keresést.
- Fájlvizsgálat olvasási puffermérete: A tartalom olvasása közben használt puffer bájtban megadott mérete. Az alapértelmezett érték 524 288.
- Maximális fájlvizsgálati olvasási bájtok: A fájlokból a tartalomelemzés során beolvasandó bájtok maximális száma. Az alapértelmezett érték 104 857 600.
- Vezérlési beállítások>Futtassa ezt a feladatot: Meghatározza, hogy mikor fut a tevékenység. Összetettebb feltételek megadásához válassza az Egyéni feltételeket .
- Verzió: A buildelési feladat verziója az Azure DevOpsban. Ezt a beállítást nem gyakran használják.
A feladat YAML-konfigurációjáról további információt a Credential Scanner YAML-beállításaiban talál.
Roslyn elemzők feladata
Megjegyzés
A Roslyn Analyzers-feladat futtatása előtt a buildnek meg kell felelnie az alábbi feltételeknek:
- A builddefiníció tartalmazza a beépített MSBuild vagy VSBuild buildelési feladatot c# vagy Visual Basic-kód fordításához. Az elemzői tevékenység a beépített feladat bemenetére és kimenetére támaszkodik az MSBuild-fordítás futtatásához a Roslyn-elemzők engedélyezésével.
- A buildelési feladatot futtató buildügynök telepítve van a Visual Studio 2017 15.5-ös vagy újabb verziójával, így a fordító 2.6-os vagy újabb verzióját használja.
A feladatkonfiguráció részleteit az alábbi listában és megjegyzésben találja.
Az elérhető lehetőségek a következők:
- Szabálykészlet: Az értékek SDL-kötelezőek, SDL-ajánlottak vagy saját egyéni szabálykészlete.
- Elemzők verziója: Javasoljuk, hogy válassza a Legújabb lehetőséget.
- Fordító figyelmeztetések letiltása fájl: Egy szövegfájl a letiltott figyelmeztetések azonosítóinak listájával.
- Vezérlési beállítások>Futtassa ezt a feladatot: Meghatározza, hogy mikor fut a tevékenység. Összetettebb feltételek megadásához válassza az Egyéni feltételeket .
Megjegyzés
A Roslyn Analyzers integrálva van a fordítóval, és csak csc.exe fordítás részeként futtatható. Ezért ehhez a feladathoz a build korábbi részében futtatott fordítóparancsot újra kell játszani vagy újra kell futtatni. Ezt az ismétlést vagy futtatást az MSBuild buildelési feladatnaplóihoz tartozó Azure DevOps (korábbi nevén Visual Studio Team Services) lekérdezésével végezheti el.
A feladatnak nincs más módja, hogy megbízhatóan lekérje az MSBuild fordítási parancssort a builddefinícióból. Úgy gondoltuk, hogy szabadkérelmű szövegmezőt adunk hozzá, amely lehetővé teszi a felhasználók számára, hogy beírhassák a parancssorukat. De akkor nehéz lenne ezeket a parancssorokat up-to-date szinkronban megőrizni a fő builddel.
Az egyéni buildekhez a parancsok teljes készletének ismétlésére van szükség, nem csak a fordítóparancsokra. Ezekben az esetekben a Roslyn Analyzers engedélyezése nem triviális vagy megbízható.
A Roslyn Analyzers integrálva van a fordítóval. A meghíváshoz a Roslyn-elemzők kompilációt igényelnek.
Ez az új buildelési feladat a már létrehozott C#-projektek újrafordításával valósítható meg. Az új feladat csak az MSBuild és a VSBuild build feladatokat használja ugyanabban a build- vagy builddefinícióban, mint az eredeti feladat. Ebben az esetben azonban az új feladat a Roslyn Analyzers engedélyezésével használja őket.
Ha az új tevékenység ugyanazon az ügynökön fut, mint az eredeti tevékenység, az új tevékenység kimenete felülírja az eredeti tevékenység kimenetét a forrásmappában. Bár a build kimenete megegyezik, javasoljuk, hogy futtassa az MSBuild parancsot, másolja a kimenetet az összetevők átmeneti könyvtárába, majd futtassa a Roslyn Analyzerst.
A Roslyn-elemzők tevékenységhez további erőforrásokért tekintse át a Roslyn-alapú elemzőket.
A buildelési feladat által telepített és használt elemzőcsomagot a Microsoft.CodeAnalysis.FxCopAnalyzers NuGet oldalon találja.
A feladat YAML-konfigurációjáról további információt a Roslyn Analyzers YAML-beállításaiban talál.
TSLint-tevékenység
A TSLintről további információt a TSLint GitHub adattárában talál.
Megjegyzés
Mint bizonyára tudja, a TSLint GitHub adattár kezdőlapja szerint a TSLint valamikor 2019-ben elavulttá válik. A Microsoft alternatív feladatként vizsgálja az ESLintet .
A feladat YAML-konfigurációjáról további információt a TSLint YAML-beállításainkban talál.
Biztonsági elemzési naplók közzététele feladat
A feladatkonfiguráció részletei az alábbi képernyőképen és listában láthatók.
- Összetevő neve: Bármilyen sztringazonosító.
- Összetevő típusa: A kiválasztástól függően naplókat tehet közzé az Azure DevOps Serveren vagy egy megosztott fájlban, amely elérhető a buildügynök számára.
- Eszközök: Dönthet úgy, hogy bizonyos eszközök naplóit megőrzi, vagy a Minden eszköz lehetőséget választva az összes naplót megőrzi.
A feladat YAML-konfigurációjáról további információt a Biztonsági naplók közzététele YAML-beállításaiban talál.
Biztonsági jelentés feladat
A biztonsági jelentés konfigurációjának részletei az alábbi képernyőképen és listában láthatók.
- Jelentések: Válassza ki a folyamatkonzol, a TSV-fájl és a HTML-fájlformátumok bármelyikét. Minden kijelölt formátumhoz egy jelentésfájl jön létre.
- Eszközök: Válassza ki azokat az eszközöket a builddefinícióban, amelyekhez összegzést szeretne kapni az észlelt problémákról. Az egyes kijelölt eszközöknél lehetőség van arra, hogy eldöntse, hogy csak a hibákat látja-e, vagy az összefoglaló jelentésben is megjelennek-e hibák és figyelmeztetések.
- Speciális beállítások: Ha a kijelölt eszközök egyikéhez nem tartoznak naplók, figyelmeztetést vagy hibát naplózhat. Ha hibát rögzít, a feladat meghiúsul.
- Alapnaplók mappa: Testre szabhatja az alapnaplók mappát, ahol a naplók találhatók. Ezt a lehetőséget azonban általában nem használják.
A feladat YAML-konfigurációjáról további információt a biztonsági jelentés YAML-beállításai között talál.
Elemzés utáni feladat
A feladatkonfiguráció részletei az alábbi képernyőképen és listában láthatók.
- Eszközök: Válassza ki azokat az eszközöket a builddefinícióban, amelyekhez feltételesen be szeretné szúrni a buildtörést. Az egyes kijelölt eszközök esetében lehetőség van annak kiválasztására, hogy csak a hibákra, vagy a hibákra és a figyelmeztetésekre is szeretne megszakítani.
- Jelentés: Igény szerint megírhatja azokat az eredményeket, amelyek a buildtörést okozzák. Az eredmények az Azure DevOps-konzol ablakában és naplófájljában lesznek megírva.
- Speciális beállítások: Ha a kijelölt eszközök egyikéhez nem tartoznak naplók, figyelmeztetést vagy hibát naplózhat. Ha hibát rögzít, a feladat meghiúsul.
A feladat YAML-konfigurációjáról további információt az elemzés utáni YAML-beállításokban talál.
Következő lépések
A YAML-alapú konfigurációval kapcsolatos információkért tekintse meg a YAML konfigurációs útmutatóját.
Ha további kérdései vannak a Security Code Analysis bővítménysel és a kínált eszközökkel kapcsolatban, tekintse meg a GYIK oldalt.