Tentang Microsoft Security Code Analysis

  • Artikel

Catatan

Berlaku mulai 31 Desember 2022, ekstensi Microsoft Security Code Analysis (MSCA) dihentikan. MSCA digantikan oleh ekstensi Microsoft Security DevOps Azure DevOps. Ikuti instruksi di Mengonfigurasi untuk menginstal dan mengonfigurasi ekstensi.

Dengan ekstensi Microsoft Security Code Analysis, tim dapat menambahkan analisis kode keamanan ke saluran integrasi dan pengiriman berkelanjutan (CI/CD) Azure DevOps mereka. Analisis ini direkomendasikan oleh pakar Secure Development Lifecycle (SDL) di Microsoft.

UX yang konsisten menyederhanakan keamanan dengan menyembunyikan kompleksitas alat yang berjalan. Dengan pengiriman alat berbasis NuGet, tim tidak perlu lagi mengelola pemasangan atau pembaruan peralatan. Dengan antarmuka baris perintah dan antarmuka dasar untuk membangun tugas, semua pengguna dapat memiliki kontrol atas alat sebanyak yang mereka inginkan.

Tim juga dapat menggunakan kemampuan pascapemrosesan yang kuat seperti:

  • Menerbitkan log untuk retensi.
  • Menghasilkan laporan yang dapat ditindaklanjuti dan berfokus pada pengembang.
  • Mengonfigurasi build putus pada pengujian regresi.

Mengapa saya harus menggunakan Microsoft Security Code Analysis?

Keamanan disederhanakan

Menambahkan alat Microsoft Security Code Analysis ke saluran Azure DevOps Anda semudah menambahkan tugas baru. Sesuaikan tugas atau gunakan perilaku defaultnya. Tugas berjalan sebagai bagian dari alur Azure DevOps Anda dan menghasilkan log yang merinci berbagai jenis hasil.

Build bersih

Setelah mengatasi masalah awal yang dilaporkan oleh alat, Anda dapat mengonfigurasi ekstensi untuk memutus build pada masalah baru. Menyiapkan build integrasi berkelanjutan di atas setiap permintaan tarik itu mudah.

Atur dan lupakan

Secara default, tugas dan alat build tetap diperbarui. Jika ada versi alat yang diperbarui, Anda tidak perlu mengunduh dan memasangnya. Ekstensi ini mengurus pembaruan untuk Anda.

Di balik layanan

Tugas build ekstensi menyembunyikan kompleksitas:

  • Menjalankan alat analisis statis keamanan.
  • Memproses hasil dari file log untuk membuat laporan ringkasan atau memutus build.

Set alat Microsoft Security Code Analysis

Ekstensi Microsoft Security Code Analysis membuat versi terbaru alat analisis penting tersedia untuk Anda. Ekstensi ini mencakup alat yang dikelola Microsoft dan alat sumber terbuka.

Alat-alat ini secara otomatis diunduh ke agen yang dihosting cloud setelah Anda menggunakan tugas build yang sesuai untuk mengonfigurasi dan menjalankan alur.

Bagian ini mencantumkan kumpulan alat yang saat ini tersedia di ekstensi. Nantikan penambahan alat lainnya. Selain itu, kirim saran Anda untuk alat yang ingin ditambahkan kepada kami.

Pemindai Anti-Malware

Tugas build Pemindai Anti-Malware sekarang disertakan dalam ekstensi Microsoft Security Code Analysis. Tugas ini harus dijalankan pada agen build yang memiliki Windows Defender yang sudah terpasang. Untuk informasi selengkapnya, lihat situs web Windows Defender.

BinSkim

BinSkim adalah pemindai ringan Portable Executable (PE) yang memvalidasi pengaturan pengompilasi, pengaturan penaut, dan karakteristik file biner lain yang relevan dengan keamanan. Tugas build ini menyediakan pembungkus baris perintah di sekitar aplikasi konsol binskim.exe. BinSkim adalah alat sumber terbuka. Untuk informasi selengkapnya, lihat BinSkim di GitHub.

Credential Scanner

Kata sandi dan rahasia lain yang disimpan dalam kode sumber adalah masalah yang signifikan. Credential Scanner adalah alat analisis statis eksklusif yang membantu menyelesaikan masalah ini. Alat ini mendeteksi info masuk, rahasia, sertifikat, dan konten sensitif lainnya dalam kode sumber dan output build Anda.

Roslyn Analyzers

Roslyn Analyzeers adalah alat terintegrasi pengompilasi Microsoft untuk menganalisis kode C# dan Visual Basic terkelola secara statis. Untuk informasi selengkapnya, lihat Penganalisis berbasis Roslyn.

TSLint

TSLint adalah alat analisis statis yang dapat diperluas yang memeriksa kode TypeScript untuk keterbacaan, kelestarian, dan kesalahan dalam fungsionalitas. Ini didukung secara luas oleh editor modern dan sistem build. Anda dapat menyesuaikannya dengan aturan, konfigurasi, dan pemformatan lint Anda sendiri. TSLint adalah alat sumber terbuka. Untuk informasi selengkapnya, lihat TSLint di GitHub.

Analisis dan pasca-pemrosesan hasil

Ekstensi Microsoft Security Code Analysis juga memiliki tiga tugas pasca-pemrosesan. Tugas-tugas ini membantu Anda menganalisis hasil yang ditemukan oleh tugas alat keamanan. Saat ditambahkan ke alur, tugas-tugas ini biasanya mengikuti semua tugas alat lainnya.

Publish Security Analysis Logs

Publish Security Analysis Logs mempertahankan file log alat keamanan yang dijalankan selama build. Anda dapat membaca log ini untuk penyelidikan dan tindak lanjut.

Anda dapat menerbitkan file log ke Azure Artifacts sebagai file .zip. Anda juga dapat menyalinnya ke file berbagi yang dapat diakses dari agen build pribadi Anda.

Security Report

Tugas build Security Report mengurai file log. File-file ini dibuat oleh alat keamanan yang berjalan selama build. Tugas build kemudian membuat satu file laporan ringkasan. File ini menunjukkan semua masalah yang ditemukan oleh alat analisis.

Anda dapat mengonfigurasi tugas ini untuk melaporkan hasil untuk alat tertentu atau untuk semua alat. Anda juga dapat memilih tingkat masalah apa yang akan dilaporkan, seperti kesalahan saja atau kesalahan dan peringatan.

Post-Analysis (build putus)

Dengan tugas build Post-Analysis, Anda dapat menyuntikkan build putus yang sengaja menyebabkan build gagal. Anda menyuntikkan build putus jika satu atau beberapa alat analisis melaporkan masalah dalam kode.

Anda dapat mengonfigurasi tugas ini untuk memutuskan build untuk masalah yang ditemukan oleh alat tertentu atau semua alat. Anda juga dapat mengonfigurasinya berdasarkan tingkat keparahan masalah yang ditemukan, seperti kesalahan atau peringatan.

Catatan

Menurut desain, setiap tugas build berhasil jika tugas berhasil diselesaikan. Ini benar, baik alat menemukan masalah atau tidak, sehingga build dapat berjalan hingga selesai dengan memungkinkan semua alat berjalan.

Langkah berikutnya

Untuk petunjuk tentang cara melakukan onboard dan memasang Microsoft Security Code Analysis, lihat panduan Orientasi dan pemasangan kami.

Untuk informasi selengkapnya tentang mengonfigurasi tugas build, lihat Panduan konfigurasi atau Panduan konfigurasi YAML kami.

Jika Anda memiliki pertanyaan lebih lanjut tentang ekstensi dan alat yang ditawarkan, lihat Halaman Tanya Jawab Umum kami.