Condividi tramite

Onboarding e installazione

  • Articolo

Nota

A partire dal 31 dicembre 2022, l'estensione Microsoft Security Code Analysis (MSCA) viene ritirata. MSCA viene sostituito dall'estensione Microsoft Security DevOps di Azure DevOps. Seguire le istruzioni in Configurare per installare e configurare l'estensione.

Prerequisiti per iniziare a usare l'analisi del codice di sicurezza Microsoft:

  • Un'offerta di Microsoft Unified Support idonea, come descritto nella sezione seguente.
  • Un'organizzazione di Azure DevOps.
  • Autorizzazione per installare le estensioni all'organizzazione Azure DevOps.
  • Codice sorgente che può essere sincronizzato con una pipeline di Azure DevOps ospitata nel cloud.

Onboarding dell'estensione Microsoft Security Code Analysis

Si è interessati all'acquisto dell'estensione Microsoft Security Code Analysis?

Se si dispone di una delle seguenti offerte di supporto, contattare il responsabile dell'account tecnico per acquistare o scambiare ore esistenti per ottenere l'accesso all'estensione:

  • Livello avanzato di supporto unificato
  • Livello di prestazioni di supporto unificato
  • Supporto Premier per sviluppatori
  • Supporto tecnico Premier per i partner
  • Supporto Premier per enterprise

Se non si dispone di uno dei contratti di supporto indicati in precedenza, è possibile acquistare l'estensione da uno dei partner.

Passaggi successivi:

Se si soddisfano le qualifiche precedenti, contattare un partner dall'elenco seguente per acquistare l'estensione Microsoft Security Code Analysis. In caso contrario, contattare il supporto per l'analisi del codice di sicurezza Microsoft.

Partner:

  • Zone - Dettagli contatto: cloudsupport@zones.com
  • Wortell – Dettagli contatto: info@wortell.nl
  • Logicalis - Dettagli contatto: logicalisleads@us.logicalis.com

Diventa un partner

Il team di analisi del codice di sicurezza Microsoft sta cercando di eseguire l'onboarding di partner con un contratto di supporto Premier per i partner. I partner consentiranno ai clienti di Azure DevOps di sviluppare in modo più sicuro vendendo l'estensione ai clienti che vogliono acquistarla, ma non hanno un contratto di supporto enterprise con Microsoft. I partner interessati possono registrarsi qui.

Installazione dell'estensione Microsoft Security Code Analysis

  1. Dopo aver condiviso l'estensione con l'organizzazione di Azure DevOps, passare alla pagina dell'organizzazione di Azure DevOps. Un URL di esempio per tale pagina è https://dev.azure.com/contoso.
  2. Selezionare l'icona del carrello nell'angolo in alto a destra accanto al nome e quindi selezionare Gestisci estensioni.
  3. Selezionare Condiviso.
  4. Selezionare l'estensione Analisi codice di sicurezza Microsoft, selezionare Installa.
  5. Nell'elenco a discesa scegliere l'organizzazione Azure DevOps in cui installare l'estensione.
  6. Selezionare Installa. Al termine dell'installazione, è possibile iniziare a usare l'estensione .

Nota

Anche se non si ha accesso per l'installazione dell'estensione, continuare con la procedura di installazione. È possibile richiedere l'accesso dall'amministratore dell'organizzazione di Azure DevOps durante il processo di installazione.

Dopo aver installato l'estensione, le attività di compilazione di sviluppo sicure sono visibili e disponibili per l'aggiunta ad Azure Pipelines.

Aggiunta di attività di compilazione specifiche alla pipeline di Azure DevOps

  1. Dall'organizzazione Di Azure DevOps aprire il progetto team.
  2. Selezionare Pipeline compilazioni>.
  3. Selezionare la pipeline in cui aggiungere le attività di compilazione dell'estensione:
    • Nuova pipeline: selezionare Nuovo e seguire i passaggi dettagliati per creare una nuova pipeline.
    • Modifica pipeline: selezionare una pipeline esistente e quindi selezionare Modifica per iniziare a modificare la pipeline.
  4. Selezionare + e passare al riquadro Aggiungi attività .
  5. Dall'elenco o usando la casella di ricerca trovare l'attività di compilazione da aggiungere. Selezionare Aggiungi.
  6. Specificare i parametri necessari per l'attività.
  7. Inserire in coda una nuova compilazione.

    Nota

    I percorsi di file e cartelle sono relativi alla radice del repository di origine. Se si specificano i file di output e le cartelle come parametri, questi vengono sostituiti con il percorso comune definito nell'agente di compilazione.

Suggerimento

  • Per eseguire un'analisi dopo la compilazione, inserire le attività di compilazione analisi del codice di sicurezza Microsoft dopo il passaggio Pubblica artefatti di compilazione della compilazione. In questo modo, la compilazione può terminare e pubblicare i risultati prima di eseguire strumenti di analisi statici.
  • Selezionare sempre Continua in caso di errore per le attività di compilazione di sviluppo sicuro. Anche se uno strumento ha esito negativo, gli altri possono essere eseguiti. Non esistono interdipendenze tra gli strumenti.
  • Le attività di compilazione dell'analisi del codice di microsoft non riescono solo se uno strumento non riesce a essere eseguito correttamente. Ma hanno esito positivo anche se uno strumento identifica i problemi nel codice. Usando l'attività di compilazione Post-Analisi, è possibile configurare la compilazione in modo che non riesca quando uno strumento identifica i problemi nel codice.
  • Alcune attività di compilazione di Azure DevOps non sono supportate quando vengono eseguite tramite una pipeline di versione. In particolare, Azure DevOps non supporta attività che pubblicano artefatti dall'interno di una pipeline di versione.
  • Per un elenco delle variabili predefinite in Azure DevOps Team Build che è possibile specificare come parametri, vedere Variabili di compilazione di Azure DevOps.

Passaggi successivi

Per altre informazioni sulla configurazione delle attività di compilazione, vedere la guida alla configurazione o alla guida alla configurazione YAML.

Per altre domande sull'estensione e sugli strumenti offerti, consultare la pagina delle domande frequenti.