Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Annotazioni
A partire dal 31 dicembre 2022, l'estensione Microsoft Security Code Analysis (MSCA) viene ritirata. MSCA viene sostituito dall'estensione Microsoft Security DevOps Azure DevOps. Seguire le istruzioni in Configurare per installare e configurare l'estensione.
Prerequisiti per iniziare a usare l'analisi del codice di sicurezza Microsoft:
- Un'offerta di supporto unificato Microsoft idonea, come descritto nella sezione seguente.
- Un'organizzazione di Azure DevOps.
- Autorizzazione per installare le estensioni all'organizzazione Azure DevOps.
- Codice sorgente che può essere sincronizzato con una pipeline di Azure DevOps ospitata nel cloud.
Introduzione all'estensione Microsoft Security Code Analysis
Si è interessati all'acquisto dell'estensione Microsoft Security Code Analysis?
Se si dispone di una delle offerte di supporto seguenti, contattare il responsabile dell'account tecnico per acquistare o scambiare ore esistenti per ottenere l'accesso all'estensione:
- Livello avanzato di supporto unificato
- Livello di prestazioni di supporto unificato
- Supporto Premier per sviluppatori
- Servizio Premier Supporto per i partner
- Supporto Premier per aziende
Se non si dispone di uno dei contratti di supporto indicati in precedenza, è possibile acquistare l'estensione da uno dei nostri partner.
Passaggi successivi:
Se si soddisfano le qualifiche precedenti, contattare un partner dall'elenco seguente per acquistare l'estensione Microsoft Security Code Analysis. In caso contrario, contattare il supporto per l'analisi del codice di sicurezza Microsoft.
Partner:
- Zone - Dettagli contatto: cloudsupport@zones.com
- Wortell – Dettagli contatto: info@wortell.nl
- Logicalis - Dettagli contatto: logicalisleads@us.logicalis.com
Diventare un partner
Il team di analisi del codice di sicurezza Microsoft sta cercando di eseguire l'onboarding di partner con un contratto Premier Support for Partners. I partner aiuteranno i clienti di Azure DevOps a sviluppare in modo più sicuro vendendo l'estensione ai clienti che vogliono acquistarla, ma non hanno un contratto di supporto enterprise con Microsoft. I partner interessati possono registrarsi qui.
Installazione dell'estensione Microsoft Security Code Analysis
- Dopo aver condiviso l'estensione con l'organizzazione Azure DevOps, passare alla pagina dell'organizzazione di Azure DevOps. Un URL di esempio per una pagina di questo tipo è
https://dev.azure.com/contoso. - Selezionare l'icona del carrello nell'angolo in alto a destra accanto al nome e quindi selezionare Gestisci estensioni.
- Selezionare Condiviso.
- Selezionare l'estensione Analisi codice di sicurezza Microsoft, selezionare Installa.
- Nell'elenco a discesa scegliere l'organizzazione Azure DevOps in cui installare l'estensione.
- Selezionare Installa. Al termine dell'installazione, è possibile iniziare a usare l'estensione .
Annotazioni
Anche se non si ha accesso per l'installazione dell'estensione, continuare con la procedura di installazione. È possibile richiedere l'accesso dall'amministratore dell'organizzazione di Azure DevOps durante il processo di installazione.
Dopo aver installato l'estensione, le attività di compilazione di sviluppo sicure sono visibili e disponibili per l'aggiunta ad Azure Pipelines.
Aggiunta di attività di compilazione specifiche alla pipeline di Azure DevOps
- Dalla tua organizzazione di Azure DevOps, apri il progetto del team.
- Selezionare Pipelines>Compilazioni.
- Selezionare la pipeline in cui si vogliono aggiungere le attività di compilazione dell'estensione:
- Nuova pipeline: selezionare Nuovo e seguire i passaggi dettagliati per creare una nuova pipeline.
- Modifica pipeline: selezionare una pipeline esistente e quindi selezionare Modifica per iniziare a modificare la pipeline.
- Selezionare + e passare al riquadro Aggiungi attività .
- Dall'elenco o usando la casella di ricerca per trovare il build task che vuoi aggiungere. Seleziona Aggiungi.
- Specificare i parametri necessari per l'attività.
- Accoda una nuova compilazione.
Annotazioni
I percorsi di file e cartelle sono relativi alla radice del repository di origine. Se si specificano i file di output e le cartelle come parametri, questi vengono sostituiti con il percorso comune definito nell'agente di compilazione.
Suggerimento
- Per eseguire un'analisi dopo la compilazione, inserire le attività di compilazione del Microsoft Security Code Analysis dopo il passaggio di pubblicazione degli artefatti di compilazione. In questo modo, la compilazione può terminare e pubblicare i risultati prima di eseguire strumenti di analisi statici.
- Selezionare sempre Continua in caso di errore per le attività di compilazione di sviluppo sicuro. Anche se uno strumento fallisce, gli altri possono funzionare. Non esistono interdipendenze tra gli strumenti.
- Le attività di compilazione di analisi del codice di sicurezza di Microsoft hanno esito negativo solo se uno strumento non riesce a essere eseguito correttamente. Ma hanno esito positivo anche se uno strumento identifica i problemi nel codice. Usando l'attività di compilazione Post-Analisi, è possibile configurare la compilazione in modo che non riesca quando uno strumento identifica i problemi nel codice.
- Alcune attività di compilazione di Azure DevOps non sono supportate quando vengono eseguite tramite una pipeline di versione. In particolare, Azure DevOps non supporta attività che pubblicano elementi dall'interno di una pipeline di versione.
- Per un elenco di variabili predefinite in Azure DevOps Team Build che è possibile specificare come parametri, vedere Variabili di compilazione di Azure DevOps.
Passaggi successivi
Per altre informazioni sulla configurazione delle attività di compilazione, vedere la guida alla configurazione o la guida alla configurazioneYAML.
Per altre domande sull'estensione e sugli strumenti offerti, vedere la pagina delle domande frequenti.