Dołączanie i instalowanie
Uwaga
Od 31 grudnia 2022 r. rozszerzenie Microsoft Security Code Analysis (MSCA) zostało wycofane. Narzędzie MSCA jest zastępowane przez rozszerzenie DevOps usługi Azure DevOps firmy Microsoft. Postępuj zgodnie z instrukcjami w temacie Konfigurowanie , aby zainstalować i skonfigurować rozszerzenie.
Wymagania wstępne dotyczące rozpoczynania pracy z analizą kodu zabezpieczeń firmy Microsoft:
- Kwalifikowana oferta Microsoft Unified Support, jak opisano w poniższej sekcji.
- Organizacja usługi Azure DevOps.
- Uprawnienie do instalowania rozszerzeń w organizacji usługi Azure DevOps.
- Kod źródłowy, który można zsynchronizować z potokiem usługi Azure DevOps hostowanym w chmurze.
Dołączanie rozszerzenia Microsoft Security Code Analysis
Chcesz kupić rozszerzenie Analizy kodu zabezpieczeń firmy Microsoft?
Jeśli masz jedną z następujących ofert pomocy technicznej, skontaktuj się z Menedżerem konta technicznego, aby kupić lub zamienić istniejące godziny, aby uzyskać dostęp do rozszerzenia:
- Ujednolicona warstwa zaawansowana pomocy technicznej
- Ujednolicona warstwa wydajności obsługi
- Pomoc techniczna Premier dla deweloperów
- Pomoc techniczna Premier dla partnerów
- Pomoc techniczna Premier dla przedsiębiorstw
Jeśli nie masz jednej z wymienionych powyżej umów pomocy technicznej, możesz kupić rozszerzenie od jednego z naszych partnerów.
Następne kroki:
Jeśli spełniasz powyższe kwalifikacje, skontaktuj się z partnerem z poniższej listy, aby kupić rozszerzenie Analizy kodu zabezpieczeń firmy Microsoft. W przeciwnym razie skontaktuj się z pomocą techniczną ds. analizy kodu zabezpieczeń firmy Microsoft.
Partnerów:
- Strefy — szczegóły kontaktu: cloudsupport@zones.com
- Wortell — szczegóły kontaktu: info@wortell.nl
- Logicalis — dane kontaktowe: logicalisleads@us.logicalis.com
Zostań partnerem
Zespół ds. analizy kodu zabezpieczeń firmy Microsoft chce dołączyć partnerów z umową Pomocy technicznej Premier dla partnerów. Partnerzy pomogą klientom usługi Azure DevOps rozwijać się bezpieczniej, sprzedając rozszerzenie klientom, którzy chcą go kupić, ale nie mają umowy Enterprise Support agreement z firmą Microsoft. Zainteresowani partnerzy mogą zarejestrować się tutaj.
Instalowanie rozszerzenia Microsoft Security Code Analysis
- Po udostępnieniu rozszerzenia organizacji usługi Azure DevOps przejdź do strony organizacji usługi Azure DevOps. Przykładowy adres URL dla takiej strony to
https://dev.azure.com/contoso
. - Wybierz ikonę torby na zakupy w prawym górnym rogu obok swojej nazwy, a następnie wybierz pozycję Zarządzaj rozszerzeniami.
- Wybierz pozycję Udostępnione.
- Wybierz rozszerzenie Analiza kodu zabezpieczeń firmy Microsoft, wybierz pozycję Zainstaluj.
- Z listy rozwijanej wybierz organizację usługi Azure DevOps, aby zainstalować rozszerzenie.
- Wybierz pozycję Zainstaluj. Po zakończeniu instalacji można rozpocząć korzystanie z rozszerzenia.
Uwaga
Nawet jeśli nie masz dostępu do instalowania rozszerzenia, kontynuuj kroki instalacji. Podczas procesu instalacji możesz zażądać dostępu od administratora organizacji usługi Azure DevOps.
Po zainstalowaniu rozszerzenia zadania kompilacji bezpiecznego programowania są widoczne i dostępne do dodania do usługi Azure Pipelines.
Dodawanie określonych zadań kompilacji do potoku usługi Azure DevOps
- W organizacji usługi Azure DevOps otwórz projekt zespołu.
- Wybierz pozycję Kompilacje potoków>.
- Wybierz potok, do którego chcesz dodać zadania kompilacji rozszerzenia:
- Nowy potok: wybierz pozycję Nowy i wykonaj kroki szczegółowe, aby utworzyć nowy potok.
- Edytuj potok: wybierz istniejący potok, a następnie wybierz pozycję Edytuj , aby rozpocząć edytowanie potoku.
- Wybierz + i przejdź do okienka Dodaj zadania .
- Z listy lub przy użyciu pola wyszukiwania znajdź zadanie kompilacji, które chcesz dodać. Wybierz pozycję Dodaj.
- Określ parametry wymagane dla zadania.
- Kolejkowanie nowej kompilacji.
Uwaga
Ścieżki plików i folderów są względne względem katalogu głównego repozytorium źródłowego. Jeśli określisz pliki wyjściowe i foldery jako parametry, zostaną one zastąpione wspólną lokalizacją zdefiniowaną na agencie kompilacji.
Porada
- Aby uruchomić analizę po kompilacji, umieść zadania kompilacji Analizy kodu zabezpieczeń firmy Microsoft po kroku Publikowanie artefaktów kompilacji kompilacji. Dzięki temu kompilacja może zakończyć i opublikować wyniki przed uruchomieniem narzędzi do analizy statycznej.
- Zawsze wybieraj pozycję Kontynuuj w obszarze Błąd dla zadań kompilacji bezpiecznego programowania. Nawet jeśli jedno narzędzie ulegnie awarii, inne mogą zostać uruchomione. Nie ma żadnych współzależności między narzędziami.
- Zadania kompilacji Analizy kodu zabezpieczeń firmy Microsoft kończą się niepowodzeniem tylko wtedy, gdy narzędzie nie powiedzie się pomyślnie. Jednak powiedzie się, nawet jeśli narzędzie identyfikuje problemy w kodzie. Za pomocą zadania kompilacji Post-Analysis można skonfigurować kompilację, aby zakończyć się niepowodzeniem, gdy narzędzie identyfikuje problemy w kodzie.
- Niektóre zadania kompilacji usługi Azure DevOps nie są obsługiwane podczas uruchamiania za pośrednictwem potoku wydania. Dokładniej mówiąc, usługa Azure DevOps nie obsługuje zadań, które publikują artefakty z potoku wydania.
- Aby uzyskać listę wstępnie zdefiniowanych zmiennych w usłudze Azure DevOps Team Build, które można określić jako parametry, zobacz Zmienne kompilacji usługi Azure DevOps.
Następne kroki
Aby uzyskać więcej informacji na temat konfigurowania zadań kompilacji , zobacz przewodnik konfiguracji lub przewodnik konfiguracji YAML.
Jeśli masz więcej pytań dotyczących rozszerzenia i oferowanych narzędzi, zapoznaj się z naszą stroną często zadawanych pytań.