Informazioni sull'analisi del codice di sicurezza Microsoft

  • Articolo

Nota

A partire dal 31 dicembre 2022, l'estensione Microsoft Security Code Analysis (MSCA) viene ritirata. MSCA viene sostituito dall'estensione Microsoft Security DevOps azure DevOps. Seguire le istruzioni in Configurare per installare e configurare l'estensione.

Con l'estensione Analisi del codice di sicurezza Microsoft, i team possono aggiungere analisi del codice di sicurezza alle pipeline di integrazione e recapito continuo di Azure DevOps (CI/CD). Questa analisi è consigliata dagli esperti di Secure Development Lifecycle (SDL) di Microsoft.

Un'esperienza utente coerente semplifica la sicurezza nascondendo la complessità degli strumenti in esecuzione. Con la distribuzione basata su NuGet degli strumenti, i team non devono più gestire l'installazione o l'aggiornamento degli strumenti. Con entrambe le interfacce della riga di comando e di base per le attività di compilazione, tutti gli utenti possono avere il maggior controllo sugli strumenti desiderati.

Teams può anche usare potenti funzionalità di post-elaborazione, ad esempio:

  • Pubblicazione dei log per la conservazione.
  • Generazione di report interattivi e incentrati sullo sviluppatore.
  • Configurazione delle interruzioni di compilazione nei test di regressione.

Perché usare l'analisi del codice di sicurezza Microsoft?

Sicurezza semplificata

L'aggiunta di strumenti di analisi del codice di sicurezza Microsoft alla pipeline di Azure DevOps è semplice come l'aggiunta di nuove attività. Personalizzare le attività o usare il comportamento predefinito. Le attività vengono eseguite come parte della pipeline di Azure DevOps e producono log che descrivono molti tipi di risultati.

Pulire le compilazioni

Dopo aver indirizzato i problemi iniziali segnalati dagli strumenti, è possibile configurare l'estensione per interrompere le build sui nuovi problemi. La configurazione dell'integrazione continua si basa su ogni richiesta pull è semplice.

Impostarlo e dimenticarlo

Per impostazione predefinita, le attività di compilazione e gli strumenti rimangono aggiornati. Se è disponibile una versione aggiornata di uno strumento, non è necessario scaricarla e installarla. L'estensione si occupa dell'aggiornamento.

dietro le quinte

Le attività di compilazione dell'estensione nascondono le complessità di:

  • Esecuzione di strumenti di analisi statica della sicurezza.
  • Elaborazione dei risultati dai file di log per creare un report di riepilogo o interrompere la compilazione.

Set di strumenti di analisi del codice di sicurezza Microsoft

L'estensione Analisi del codice di sicurezza Microsoft rende disponibili le versioni più recenti degli strumenti di analisi importanti. L'estensione include sia strumenti gestiti da Microsoft che strumenti open source.

Questi strumenti vengono scaricati automaticamente nell'agente ospitato nel cloud dopo aver usato l'attività di compilazione corrispondente per configurare ed eseguire la pipeline.

Questa sezione elenca il set di strumenti attualmente disponibili nell'estensione. Guarda l'aggiunta di altri strumenti. Inviare anche i suggerimenti per gli strumenti da aggiungere.

Scanner antimalware

L'attività di compilazione Anti-Malware Scanner è ora inclusa nell'estensione Analisi del codice di sicurezza Microsoft. Questa attività deve essere eseguita in un agente di compilazione che ha già installato Windows Defender. Per altre informazioni, vedere il sito Web Windows Defender.

BinSkim

BinSkim è uno scanner leggero pe (Portable Eseguibile) che convalida le impostazioni del compilatore, le impostazioni del linker e altre caratteristiche rilevanti per la sicurezza dei file binari. Questa attività di compilazione fornisce un wrapper della riga di comando intorno all'applicazione console di binskim.exe. BinSkim è uno strumento open source. Per altre informazioni, vedere BinSkim in GitHub.

Credential Scanner

Le password e altri segreti archiviati nel codice sorgente sono un problema significativo. Credential Scanner è uno strumento di analisi statica proprietario che consente di risolvere questo problema. Lo strumento rileva credenziali, segreti, certificati e altri contenuti sensibili nel codice sorgente e nell'output della compilazione.

Analizzatori di Roslyn

Roslyn Analyzers è lo strumento integrato dal compilatore Microsoft per l'analisi statica del codice C# gestito e Visual Basic. Per altre informazioni, vedere Analizzatori basati su Roslyn.

TSLint

TSLint è uno strumento di analisi statica estendibile che controlla il codice TypeScript per la leggibilità, la gestibilità e gli errori nelle funzionalità. È ampiamente supportato da editor moderni e sistemi di compilazione. È possibile personalizzarla con regole, configurazioni e formattatori personalizzati. TSLint è uno strumento open source. Per altre informazioni, vedere TSLint in GitHub.

Analisi e post-elaborazione dei risultati

L'estensione Analisi del codice di sicurezza Microsoft include anche tre attività di post-elaborazione. Queste attività consentono di analizzare i risultati trovati dalle attività dello strumento di sicurezza. Quando aggiunto a una pipeline, queste attività in genere seguono tutte le altre attività dello strumento.

Pubblicare i log di analisi della sicurezza

L'attività di compilazione Pubblica log di analisi della sicurezza mantiene i file di log degli strumenti di sicurezza eseguiti durante la compilazione. È possibile leggere questi log per l'analisi e il completamento.

È possibile pubblicare i file di log in Elementi di Azure come file di .zip. È anche possibile copiarli in una condivisione file accessibile dall'agente di compilazione privato.

Report sulla sicurezza

L'attività di compilazione report di sicurezza analizza i file di log. Questi file vengono creati dagli strumenti di sicurezza eseguiti durante la compilazione. L'attività di compilazione crea quindi un singolo file di report di riepilogo. Questo file mostra tutti i problemi rilevati dagli strumenti di analisi.

È possibile configurare questa attività per segnalare i risultati per strumenti specifici o per tutti gli strumenti. È anche possibile scegliere il livello di problema da segnalare, ad esempio errori o solo errori e avvisi.

Post-Analisi (interruzione di compilazione)

Con l'attività di compilazione Post-Analysis è possibile inserire un'interruzione di compilazione che causa un errore di compilazione. Si inserisce un'interruzione di compilazione se uno o più strumenti di analisi segnalano problemi nel codice.

È possibile configurare questa attività per interrompere la compilazione per i problemi rilevati da strumenti specifici o tutti gli strumenti. È anche possibile configurarla in base alla gravità dei problemi rilevati, ad esempio errori o avvisi.

Nota

Per progettazione, ogni attività di compilazione ha esito positivo se l'attività viene completata correttamente. Questo è vero se uno strumento trova problemi, in modo che la compilazione possa essere eseguita al completamento consentendo l'esecuzione di tutti gli strumenti.

Passaggi successivi

Per istruzioni su come eseguire l'onboarding e l'installazione di Microsoft Security Code Analysis, vedere la guida all'onboarding e all'installazione.

Per altre informazioni sulla configurazione delle attività di compilazione, vedere la guida alla configurazione o alla guida alla configurazione YAML.

Per ulteriori domande sull'estensione e sugli strumenti offerti, vedere la pagina delle domande frequenti.