Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
GitHub Advanced Security voor Azure DevOps maakt waarschuwingen voor codescans in een opslagplaats met behulp van informatie uit SARIF-bestanden (Static Analysis Results Interchange Format). De eigenschappen van het SARIF-bestand worden gebruikt voor het vullen van waarschuwingsgegevens, zoals de titel, locatie en beschrijvingstekst van de waarschuwing.
U kunt SARIF-bestanden genereren met behulp van veel hulpprogramma's voor het testen van statische analyses, waaronder CodeQL. De resultaten moeten SARIF versie 2.1.0 gebruiken. Zie SARIF-zelfstudies voor meer informatie over SARIF.
Vereiste voorwaarden
| Categorie | Behoeften |
|---|---|
| toestemmingen | - Een overzicht van alle waarschuwingen voor een opslagplaats weergeven: Inzender machtigingen voor de opslagplaats. - Waarschuwingen verwijderen in Geavanceerde beveiliging: Projectbeheerder machtigingen. - Voor het beheren van machtigingen in Geavanceerde beveiliging: lid van de beheerders van projectverzamelingen groep of Geavanceerde beveiliging: instellingen beheren machtigingen ingesteld op Toestaan. |
Zie Geavanceerde beveiligingsmachtigingen beherenvoor meer informatie over geavanceerde beveiligingsmachtigingen.
Een analyse van codescans uploaden met Azure Pipelines
Als u Azure Pipelines wilt gebruiken om een niet-Microsoft SARIF-bestand te uploaden naar een opslagplaats, moet uw pijplijn de AdvancedSecurity-Publish taak gebruiken, die deel uitmaakt van de taken die zijn gebundeld met GitHub Advanced Security voor Azure DevOps. De belangrijkste invoerparameters die moeten worden gebruikt, zijn:
-
SarifsInputDirectory: Hiermee configureert u de map met SARIF-bestanden die moeten worden geüpload. Het verwachte pad naar de map is absoluut. -
Category: Wijst eventueel een categorie toe voor resultaten in het SARIF-bestand. Met deze parameter kunt u dezelfde doorvoer op meerdere manieren analyseren en de resultaten bekijken met behulp van de codescanweergaven in GitHub. U kunt bijvoorbeeld analyseren met behulp van meerdere hulpprogramma's en in mono-opslagplaatsen verschillende segmenten van de opslagplaats analyseren op basis van de subset van gewijzigde bestanden.
De volgende code toont een voorbeeld van een integratie met de Microsoft Security DevOps-taak die eigendom is van het Microsoft Defender voor Cloud-team:
trigger:
- main
pool:
vmImage: ubuntu-latest
steps:
- task: MicrosoftSecurityDevOps@1
inputs:
command: 'run'
categories: 'IaC'
- task: AdvancedSecurity-Publish@1
inputs:
SarifsInputDirectory: '$(Build.ArtifactStagingDirectory)/.gdn/'
Resultaatvingervinger
Als uw SARIF-bestand partialFingerprints niet bevat, berekent de AdvancedSecurity-Publish taak het partialFingerprints veld voor u en probeert dubbele waarschuwingen te voorkomen. Advanced Security kan alleen worden gemaakt partialFingerprints wanneer de opslagplaats zowel het SARIF-bestand als de broncode bevat die in de statische analyse wordt gebruikt. Zie Gegevens opgeven voor het bijhouden van waarschuwingen voor het scannen van code tijdens uitvoeringen voor meer informatie over het voorkomen van dubbele waarschuwingen.
Resultaten van hulpprogramma's valideren
U kunt controleren of de SARIF-eigenschappen de ondersteunde grootte hebben voor uploaden en of het bestand compatibel is met codescans. Daarnaast zijn er specifieke limieten voor gegevensobjecten die aanwezig zijn in elk SARIF-bestand:
| SARIF-gegevens | Limiet | Notities |
|---|---|---|
| Uitvoeringen per bestand | 20 | |
| Resultaten per sessie | 5.000 | Advanced Security controleert of het beveiligingsveld niet leeg is in de resultaten en sorteert vervolgens om de bovenste 5000 resultaten te kiezen. Zo niet, kies 5.000 resultaten zoals ze aankwamen. |
| Regels per ronde | Geen | Toekomstige limiet van 25.000 regels per run. |
| Extensies van hulpprogramma's per sessie | Geen | Toekomstige limiet van 100 hulpprogramma-extensies per uitvoering. |
| Locatie per resultaat | Geen | Advanced Security kiest de eerste 100 resultaten. In de interface voor waarschuwingen wordt alleen de eerste locatie per resultaat weergegeven. |
| Tags per regel | Geen | Advanced Security kiest de eerste tien. |
| Waarschuwingslimiet | Geen |
Zie Uw SARIF-bestand valideren voor meer informatie over het oplossen van problemen met uw SARIF-bestand. Als u wilt controleren of een SARIF-bestand specifiek voldoet aan de vereisten van Advanced Security, raadpleegt u SARIF-validator en selecteert u Azure DevOps ingestion rules.