Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Observação
A partir de 31 de dezembro de 2022, a extensão Microsoft Security Code Analysis (MSCA) será desativada. MSCA é substituído pela extensão Microsoft Security DevOps Azure DevOps. Siga as instruções em Configurar para instalar e configurar a extensão.
Pré-requisitos para começar a usar a Análise de Código de Segurança da Microsoft:
- Uma oferta de Suporte Unificado da Microsoft elegível, conforme detalhado na seção a seguir.
- Uma organização Azure DevOps.
- Permissão para instalar extensões na organização do Azure DevOps.
- Código-fonte que pode ser sincronizado com um pipeline de DevOps do Azure hospedado na nuvem.
Integração da extensão Análise de Código de Segurança da Microsoft
Interessado em comprar a extensão Microsoft Security Code Analysis?
Se você tiver uma das seguintes ofertas de suporte, entre em contato com seu Gerente Técnico de Conta para comprar ou trocar as horas existentes para obter acesso à extensão:
- Nível Avançado de Suporte Unificado
- Nível de desempenho de suporte unificado
- Suporte Premier para desenvolvedores
- Suporte Premier para Parceiros
- Suporte Premier para Empresas
Se você não tiver um dos contratos de suporte mencionados acima, você pode comprar a extensão de um de nossos parceiros.
Próximos passos:
Se você atender às qualificações acima, entre em contato com um parceiro da lista abaixo para comprar a extensão Análise de Código de Segurança da Microsoft. Caso contrário, contacte o Suporte de Análise de Código de Segurança da Microsoft.
Parceiros:
- Zonas – Detalhes de Contacto: cloudsupport@zones.com
- Wortell – Contactos: info@wortell.nl
- Logicalis – Contactos: logicalisleads@us.logicalis.com
Torne-se um parceiro
A equipe de Análise de Código de Segurança da Microsoft está procurando integrar parceiros com um contrato de Suporte Premier para Parceiros. Os parceiros ajudarão os clientes do Azure DevOps a desenvolverem-se de forma mais segura vendendo a extensão a clientes que pretendam comprá-la, mas que não têm um contrato de Suporte Empresarial com a Microsoft. Os parceiros interessados podem registar-se aqui.
Instalando a extensão Microsoft Security Code Analysis
- Depois que a extensão for compartilhada com sua organização do Azure DevOps, vá para a página da sua organização do Azure DevOps. Um exemplo de URL para essa página é
https://dev.azure.com/contoso. - Selecione o ícone do carrinho de compras no canto superior direito ao lado do seu nome e, em seguida, selecione Gerenciar extensões.
- Selecione compartilhado .
- Selecione a extensão Análise do Código de Segurança da Microsoft, selecione instalar.
- Na lista suspensa, escolha a organização do Azure DevOps na qual instalar a extensão.
- Selecione Instalar. Após a conclusão da instalação, você pode começar a usar a extensão.
Observação
Mesmo que você não tenha acesso para instalar a extensão, continue com as etapas de instalação. Você pode solicitar acesso do administrador da organização do Azure DevOps durante o processo de instalação.
Depois de instalar a extensão, as tarefas de compilação de desenvolvimento seguro ficam visíveis e disponíveis para adicionar aos seus Pipelines do Azure.
Adicionando tarefas de compilação específicas ao seu pipeline do Azure DevOps
- Na sua organização do Azure DevOps, abra seu projeto de equipe.
- Selecione Pipelines>Builds.
- Selecione o pipeline no qual você deseja adicionar as tarefas de compilação de extensão:
- Novo pipeline: selecione Novo e siga as etapas detalhadas para criar um novo pipeline.
- Editar pipeline: selecione um pipeline existente e, em seguida, selecione Editar para começar a editar o pipeline.
- Selecione + e vá para o painel Adicionar tarefas.
- Na lista ou usando a caixa de pesquisa, localize a tarefa de compilação que você deseja adicionar. Selecione Adicionar.
- Especifique os parâmetros necessários para a tarefa.
- Enfileire uma nova compilação.
Observação
Os caminhos de arquivos e pastas são relativos à raiz do repositório de origem. Se você especificar os arquivos e pastas de saída como parâmetros, eles serão substituídos pelo local comum que definimos no agente de compilação.
Sugestão
- Para executar uma análise após a compilação, coloque as tarefas de compilação da Análise de Código de Segurança da Microsoft após a etapa de publicar artefatos de compilação. Dessa forma, sua compilação pode concluir e postar resultados antes de executar ferramentas de análise estática.
- Sempre selecione Continuar em Erro para tarefas de compilação de desenvolvimento seguro. Mesmo que uma ferramenta falhe, as outras podem ser executadas. Não há interdependências entre as ferramentas.
- As tarefas de compilação da Análise de Código de Segurança da Microsoft falham apenas se uma ferramenta não for executada com êxito. Mas eles são bem-sucedidos mesmo que uma ferramenta identifique problemas no código. Usando a tarefa de compilação Post-Analysis, você pode configurar sua compilação para falhar quando uma ferramenta identificar problemas no código.
- Algumas tarefas de compilação do Azure DevOps não são suportadas quando executadas por meio de um pipeline de versão. Mais especificamente, o Azure DevOps não oferece suporte a tarefas que publicam artefatos de dentro de um pipeline de versão.
- Para obter uma lista de variáveis predefinidas no Azure DevOps Team Build que você pode especificar como parâmetros, consulte Variáveis de compilação do Azure DevOps.
Próximos passos
Para obter mais informações sobre como configurar as tarefas de compilação, consulte nosso Guia de configuração ou Guia de configuração do YAML.
Se você tiver mais dúvidas sobre a extensão e as ferramentas oferecidas, confira nossa página de perguntas frequentes .