Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Annotazioni
A partire dal 31 dicembre 2022, l'estensione Microsoft Security Code Analysis (MSCA) viene ritirata. MSCA viene sostituito dall'estensione Microsoft Security DevOps Azure DevOps. Seguire le istruzioni in Configurare per installare e configurare l'estensione.
Con l'estensione Microsoft Security Code Analysis, i team possono aggiungere l'analisi del codice di sicurezza alle pipeline di integrazione e recapito continuo (CI/CD) di Azure DevOps. Questa analisi è consigliata dagli esperti di Secure Development Lifecycle (SDL) di Microsoft.
Un'esperienza utente coerente semplifica la sicurezza nascondendo la complessità degli strumenti in esecuzione. Con la distribuzione basata su NuGet degli strumenti, i team non devono più gestire l'installazione o l'aggiornamento degli strumenti. Con entrambe le interfacce della riga di comando e di base per le attività di compilazione, tutti gli utenti possono avere il maggior controllo sugli strumenti desiderati.
Teams può anche usare potenti funzionalità di post-elaborazione, ad esempio:
- Pubblicazione dei log per la conservazione.
- Generazione di report operativi incentrati sullo sviluppatore.
- Configurazione delle interruzioni di compilazione nei test di regressione.
Perché è consigliabile usare l'analisi del codice di sicurezza Microsoft?
Sicurezza semplificata
L'aggiunta di strumenti di analisi del codice di sicurezza Microsoft alla pipeline di Azure DevOps è semplice come l'aggiunta di nuove attività. Personalizzare le attività o usare il comportamento predefinito. Le attività vengono eseguite come parte della pipeline di Azure DevOps e producono log che descrivono in dettaglio molti tipi di risultati.
Pulire le compilazioni
Dopo aver risolto i problemi iniziali segnalati dagli strumenti, è possibile configurare l'estensione per interrompere le compilazioni quando si presentano nuovi problemi. Configurare la creazione automatica per ogni richiesta di pull è semplice.
Impostarlo e dimenticarlo
Per impostazione predefinita, le attività di compilazione e gli strumenti rimangono up-to-date. Se è disponibile una versione aggiornata di uno strumento, non è necessario scaricarla e installarla. L'estensione si occupa dell'aggiornamento per te.
Sotto il cofano
Le attività di compilazione dell'estensione nascondono le complessità di:
- Esecuzione di strumenti di analisi statica della sicurezza.
- Elaborazione dei risultati dai file di log per creare un report di riepilogo o interrompere la compilazione.
Set di strumenti di analisi del codice di sicurezza Microsoft
L'estensione Microsoft Security Code Analysis rende disponibili le versioni più recenti di importanti strumenti di analisi. L'estensione include strumenti gestiti da Microsoft e strumenti open source.
Questi strumenti vengono scaricati automaticamente nell'agente ospitato nel cloud dopo aver usato l'attività di compilazione corrispondente per configurare ed eseguire la pipeline.
Questa sezione elenca il set di strumenti attualmente disponibili nell'estensione. Attendi l'aggiunta di altri strumenti. Inviaci anche i tuoi suggerimenti per gli strumenti che vuoi aggiungere.
Scansione antimalware
L'attività di compilazione Scanner antimalware è ora inclusa nell'estensione Microsoft Security Code Analysis. Questa attività deve essere eseguita in un agente di compilazione con Windows Defender già installato. Per altre informazioni, vedi il sito Web di Windows Defender.
BinSkim
BinSkim è uno scanner leggero PE (Portable Executable) che convalida le impostazioni del compilatore, le impostazioni del linker e altre caratteristiche rilevanti per la sicurezza dei file binari. Questa attività di compilazione fornisce un wrapper da riga di comando per l'applicazione console binskim.exe. BinSkim è uno strumento open source. Per altre informazioni, vedere BinSkim in GitHub.
Scanner di credenziali
Le password e altri segreti archiviati nel codice sorgente rappresentano un problema significativo. Credential Scanner è uno strumento proprietario di analisi statica che consente di risolvere questo problema. Lo strumento rileva credenziali, segreti, certificati e altri contenuti sensibili nel codice sorgente e nell'output della compilazione.
Analizzatori Roslyn
Roslyn Analyzers è lo strumento integrato dal compilatore Microsoft per l'analisi statica del codice C# e Visual Basic gestito. Per altre informazioni, vedere Analizzatori basati su Roslyn.
TSLint
TSLint è uno strumento estendibile di analisi statica che controlla il codice TypeScript per verificare la leggibilità, la manutenibilità e gli errori nelle funzionalità. È ampiamente supportato dagli editor moderni e dai sistemi di compilazione. È possibile personalizzarla con regole, configurazioni e formattatori lint personalizzati. TSLint è uno strumento open source. Per altre informazioni, vedere TSLint in GitHub.
Analisi e post-elaborazione dei risultati
L'estensione Microsoft Security Code Analysis include anche tre attività di post-elaborazione. Queste attività consentono di analizzare i risultati trovati dalle attività dello strumento di sicurezza. Quando vengono aggiunte a una pipeline, queste attività in genere seguono tutte le altre attività dello strumento.
Pubblicare i log di analisi della sicurezza
L'attività di compilazione Pubblica log di analisi della sicurezza mantiene i file di log degli strumenti di sicurezza eseguiti durante la compilazione. È possibile leggere questi log per l'analisi e il completamento.
È possibile pubblicare i file di log in Azure Artifacts come file .zip. È anche possibile copiarli in una condivisione file accessibile dall'agente di compilazione privato.
Report sulla sicurezza
L'attività di compilazione report di sicurezza analizza i file di log. Questi file vengono creati dagli strumenti di sicurezza eseguiti durante la compilazione. L'attività di compilazione crea quindi un singolo file di report di riepilogo. Questo file mostra tutti i problemi rilevati dagli strumenti di analisi.
È possibile configurare questa attività per segnalare i risultati per strumenti specifici o per tutti gli strumenti. È anche possibile scegliere il livello di problema da segnalare, ad esempio solo gli errori o gli errori e gli avvisi.
Post-analisi (errore di compilazione)
Con l'attività di compilazione Post-Analisi, puoi inserire un'interruzione che fa fallire intenzionalmente la compilazione. Si inserisce un'interruzione di compilazione se uno o più strumenti di analisi segnalano problemi nel codice.
È possibile configurare questa attività per interrompere la compilazione per i problemi rilevati da strumenti specifici o da tutti gli strumenti. È anche possibile configurarlo in base alla gravità dei problemi rilevati, ad esempio errori o avvisi.
Annotazioni
Per impostazione predefinita, ogni attività di compilazione ha esito positivo se l'attività viene completata correttamente. Questo vale se uno strumento rileva problemi, in modo che la compilazione possa essere eseguita fino al completamento consentendo l'esecuzione di tutti gli strumenti.
Passaggi successivi
Per istruzioni su come eseguire l'onboarding e installare l'analisi del codice di sicurezza Microsoft, vedere la guida all'onboarding e all'installazione.
Per altre informazioni sulla configurazione delle attività di compilazione, vedere la guida alla configurazione o la guida alla configurazioneYAML.
Per altre domande sull'estensione e sugli strumenti offerti, vedere la pagina delle domande frequenti.