Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Megjegyzés:
2022. december 31-től megszűnik a Microsoft Security Code Analysis (MSCA) bővítmény. Az MSCA helyébe a Microsoft Security DevOps Azure DevOps bővítmény lép. A bővítmény telepítéséhez és konfigurálásához kövesse a Konfigurálás című témakör utasításait.
A Microsoft Security Code Analysis bővítményével a csapatok biztonsági kódelemzést adhatnak az Azure DevOps folyamatos integrációs és kézbesítési (CI/CD) folyamataihoz. Ezt az elemzést a Microsoft biztonságos fejlesztési életciklussal (SDL) foglalkozó szakértői javasolják.
A konzisztens UX leegyszerűsíti a biztonságot a futó eszközök összetettségének elrejtésével. Az eszközök NuGet-alapú átadásával a csapatoknak már nem kell kezelnie az eszközök telepítését vagy frissítését. A buildelési feladatok parancssori és alapszintű felületeivel minden felhasználó annyi vezérléssel rendelkezhet az eszközök felett, amennyit csak szeretne.
A Teams hatékony utófeldolgozási képességeket is használhat, például:
- Naplók közzététele megőrzés céljából.
- Végrehajtható, fejlesztőközpontú jelentések létrehozása.
- Építési hibák konfigurálása regressziós teszteknél.
Miért érdemes a Microsoft Biztonsági kódelemzést használni?
A biztonság leegyszerűsítve
A Microsoft Biztonsági kódelemzési eszközök hozzáadása az Azure DevOps-folyamathoz ugyanolyan egyszerű, mint új feladatok hozzáadása. Testre szabhatja a feladatokat, vagy használhatja az alapértelmezett viselkedésüket. A feladatok az Azure DevOps-folyamat részeként futnak, és olyan naplókat hoznak létre, amelyek sokféle eredményt részleteznek.
Buildek tisztítása
Az eszközök által jelentett kezdeti problémák megoldása után konfigurálhatja a bővítményt, hogy megszakítsa az új problémákra vonatkozó buildeket. A folyamatos integrációs build beállítása minden lekéréses kérelem után könnyen megvalósítható.
Állítsa be, és felejtse el
Alapértelmezés szerint a buildelési feladatok és eszközök up-to-date maradnak. Ha egy eszköz frissített verziója van, nem kell letöltenie és telepítenie. A bővítmény gondoskodik a frissítésről.
A motorháztető alatt
A bővítmény buildelési feladatai elrejtik a következő összetettségeket:
- Biztonsági statikus elemzési eszközök futtatása.
- A naplófájlok eredményeinek feldolgozása összefoglaló jelentés létrehozásához vagy a build megszakításához.
Microsoft Security Code Analysis eszközkészlet
A Microsoft Security Code Analysis bővítmény a fontos elemzési eszközök legújabb verzióit teszi elérhetővé Ön számára. A bővítmény a Microsoft által felügyelt eszközöket és a nyílt forráskódú eszközöket is tartalmazza.
Ezek az eszközök automatikusan letöltődnek a felhőben üzemeltetett ügynökre, miután a megfelelő buildelési feladat használatával konfigurálta és futtatta a folyamatot.
Ez a szakasz felsorolja a bővítményben jelenleg elérhető eszközök készletét. További eszközök hozzáadását figyelheti. Emellett küldje el nekünk javaslatait azokhoz az eszközökhöz, amelyeket fel szeretne venni.
Kártevőirtó szkenner
A Kártevőirtó-ellenőrző buildelési feladata mostantól a Microsoft Security Code Analysis bővítmény része. Ezt a feladatot olyan buildügynökön kell futtatni, amelyen már telepítve van a Windows Defender. További információt a Windows Defender webhelyén talál.
BinSkim
A BinSkim egy hordozható végrehajtható (PE) egyszerűsített szkenner, amely ellenőrzi a fordító beállításait, a csatolási beállításokat és a bináris fájlok egyéb biztonsági szempontból releváns jellemzőit. Ez a buildelési feladat parancssori burkolót biztosít a binskim.exe konzolalkalmazás körül. A BinSkim egy nyílt forráskódú eszköz. További információ: BinSkim a GitHubon.
Hitelesítőadat-ellenőrző
A forráskódban tárolt jelszavak és egyéb titkos kódok jelentős problémát jelentenek. A Credential Scanner egy védett statikus elemzési eszköz, amely segít megoldani ezt a problémát. Az eszköz észleli a hitelesítő adatokat, titkos kulcsokat, tanúsítványokat és más bizalmas tartalmakat a forráskódban és a build kimenetében.
Roslyn-elemzők
A Roslyn Analyzers a Microsoft fordítóval integrált eszköze a felügyelt C# és Visual Basic kód statikus elemzéséhez. További információ: Roslyn-alapú elemzők.
TSLint
A TSLint egy bővíthető statikus elemző eszköz, amely ellenőrzi a TypeScript-kódot az olvashatóság, a karbantarthatóság és a funkciók hibái szempontjából. Ezt széles körben támogatják a modern szerkesztők és a buildrendszerek. Testre szabhatja saját lint szabályokkal, konfigurációkkal és formázókkal. A TSLint egy nyílt forráskódú eszköz. További információ: TSLint a GitHubon.
Eredmények elemzése és utófeldolgozása
A Microsoft Security Code Analysis bővítmény három utófeldolgozási feladatot is kínál. Ezek a feladatok segítenek elemezni a biztonsági eszközök által talált eredményeket. Amikor hozzáadják egy folyamathoz, ezek a tevékenységek általában az összes többi eszköztevékenységet követik.
Biztonsági elemzési naplók közzététele
A Biztonsági elemzési naplók közzététele összeállítási feladat megőrzi a buildelés során futtatott biztonsági eszközök naplófájljait. Ezeket a naplókat a vizsgálathoz és a nyomon követéshez olvashatja el.
A naplófájlokat .zip fájlként teheti közzé az Azure Artifactsben. A privát buildügynökből egy akadálymentes fájlmegosztásba is másolhatja őket.
Biztonsági jelentés
A biztonsági jelentés összeállítási feladata elemzi a naplófájlokat. Ezeket a fájlokat a buildelés során futó biztonsági eszközök hozzák létre. A buildelési feladat ezután egyetlen összefoglaló jelentésfájlt hoz létre. Ez a fájl az elemzőeszközök által talált összes problémát megjeleníti.
Ezt a feladatot konfigurálhatja úgy, hogy az adott eszközök vagy az összes eszköz eredményeit jelentse. Azt is kiválaszthatja, hogy milyen problémaszintet szeretne jelenteni, például csak a hibákat, vagy a hibákat és a figyelmeztetéseket is.
Elemzés utáni (build megszakadása)
Az elemzés utáni buildelési feladattal olyan buildtörést szúrhat be, amely szándékosan a build meghiúsulását okozza. Leállítja a build folyamatot, ha egy vagy több elemző eszköz hibát jelez a kódban.
Ezt a feladatot úgy konfigurálhatja, hogy megszakítsa a buildet az adott eszközök vagy az összes eszköz által észlelt problémák esetén. Konfigurálhatja a talált problémák súlyossága alapján is, például hibák vagy figyelmeztetések alapján.
Megjegyzés:
Tervezés szerint minden buildelési feladat sikeres lesz, ha a tevékenység sikeresen befejeződött. Ez igaz arra is, hogy egy eszköz problémákat talál-e vagy sem, így a build a befejezésig futhat úgy, hogy lehetővé teszi az összes eszköz futtatását.
Következő lépések
A Microsoft Biztonsági kódelemzés előkészítésével és telepítésével kapcsolatos útmutatásért tekintse meg az előkészítési és telepítési útmutatót.
A buildelési feladatok konfigurálásával kapcsolatos további információkért tekintse meg a konfigurációs útmutatót vagy a YAML konfigurációs útmutatóját.
Ha további kérdései vannak a bővítménysel és a kínált eszközökkel kapcsolatban, tekintse meg a GYIK oldalunkat.