Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
С 31 декабря 2022 г. расширение Microsoft Security Code Analysis (MSCA) отключено. MSCA заменяется расширением Microsoft Security DevOps Azure DevOps. Следуйте инструкциям в Настройка для установки и настройки расширения.
С помощью расширения "Анализ кода безопасности Майкрософт" команды могут добавлять анализ кода безопасности в конвейеры непрерывной интеграции и доставки (CI/CD) Azure DevOps. Этот анализ рекомендуется экспертами жизненного цикла безопасной разработки (SDL) в Корпорации Майкрософт.
Согласованный пользовательский интерфейс упрощает безопасность, скрывая сложность выполняемых средств. При доставке средств на основе NuGet команды больше не должны управлять установкой или обновлением инструментов. С помощью командной строки и базовых интерфейсов для задач сборки все пользователи могут иметь столько же контроля над инструментами, сколько они хотят.
Teams также могут использовать мощные возможности постобработки, такие как:
- Публикация журналов для хранения.
- Создание интерактивных отчетов, ориентированных на разработчиков.
- Настройка прерываний сборки для тестов регрессии.
Почему следует использовать анализ кода безопасности Майкрософт?
Упрощенная безопасность
Добавление средств анализа кода безопасности Майкрософт в конвейер Azure DevOps так же просто, как добавление новых задач. Настройте задачи или используйте их поведение по умолчанию. Задачи выполняются как часть конвейера Azure DevOps и создают журналы, которые подробно описывают множество типов результатов.
Чистые сборки
После устранения первоначальных проблем, сообщаемых инструментами, можно настроить расширение для прерывания сборок, если возникают новые проблемы. Настроить непрерывные интеграции на каждый pull request легко.
Установите его и забудите его
По умолчанию задачи и средства сборки остаются up-to-date. Если есть обновленная версия средства, вам не нужно скачать и установить его. Расширение само обновляется для вас.
Под капотом
Задачи сборки расширения скрывают сложности:
- Запуск средств статического анализа безопасности.
- Обработка результатов из файлов журналов для создания сводного отчета или прерывания сборки.
Набор средств анализа кода безопасности Майкрософт
Расширение "Анализ кода безопасности Майкрософт" обеспечивает доступность последних версий важных средств анализа. Расширение включает как средства, управляемые Корпорацией Майкрософт, так и средства с открытым кодом.
Эти средства автоматически загружаются в агент, размещенный в облаке, после использования соответствующей задачи сборки для настройки и запуска конвейера.
В этом разделе перечислены набор средств, доступных в настоящее время в расширении. Следите за добавлением дополнительных инструментов. Кроме того, отправьте нам свои предложения для инструментов, которые вы хотите добавить.
Сканер вредоносных программ
Задача сборки сканера защиты от вредоносных программ теперь включена в расширение анализа кода Майкрософт. Эта задача должна выполняться на агенте сборки, на котором уже установлен Защитник Windows. Дополнительные сведения см. на веб-сайте Windows Defender.
BinSkim
BinSkim — это упрощенный сканер переносимого исполняемого файла (PE), который проверяет параметры компилятора, параметры компоновщика и другие характеристики двоичных файлов, связанных с безопасностью. Эта задача сборки предоставляет оболочку командной строки вокруг консольного приложения binskim.exe. BinSkim — это средство с открытым исходным кодом. Дополнительные сведения см. в разделе BinSkim наGitHub.
Сканер учетных данных
Пароли и другие секреты, хранящиеся в исходном коде, являются значительной проблемой. Средство проверки учетных данных — это проприетарный инструмент статического анализа, который помогает решить эту проблему. Средство обнаруживает учетные данные, секреты, сертификаты и другое конфиденциальное содержимое в исходном коде и выходные данные сборки.
Анализаторы Roslyn
Анализаторы Roslyn — это средство, интегрированное с компилятором Майкрософт для статического анализа управляемого кода C# и Visual Basic. Дополнительные сведения см. в анализаторах на основе Roslyn.
TSLint
TSLint — это расширяемое средство статического анализа, которое проверяет код TypeScript для удобства чтения, удобства обслуживания и ошибок в функциональных возможностях. Она широко поддерживается современными редакторами и системами сборки. Его можно настроить с помощью собственных правил lint, конфигураций и форматировщиков. TSLint — это средство с открытым кодом. Дополнительные сведения см. в разделе TSLint наGitHub.
Анализ и постобработка результатов
Расширение Microsoft Security Code Analysis также имеет три задачи постобработки. Эти задачи помогают анализировать результаты, найденные задачами, выполняемыми инструментом безопасности. При добавлении в конвейер эти задачи обычно следуют всем остальным задачам инструментов.
Публикация журналов анализа безопасности
Задача сборки "Публикация журналов анализа безопасности" сохраняет файлы журналов инструментов безопасности, работающих во время сборки. Эти журналы можно прочитать для изучения и последующих действий.
Файлы журналов можно опубликовать в Azure Artifacts в виде файла .zip. Вы также можете скопировать их в доступную общую папку из частного агента сборки.
Отчет о безопасности
Задача сборки отчета безопасности анализирует файлы журнала. Эти файлы создаются средствами безопасности, которые выполняются во время сборки. Затем задача сборки создает один файл сводного отчета. В этом файле показаны все проблемы, обнаруженные средствами анализа.
Эту задачу можно настроить для создания отчетов о результатах для определенных средств или для всех средств. Вы также можете выбрать уровень отчётности, например, сообщать только об ошибках, или как об ошибках, так и предупреждениях.
Пост-анализ (ошибка сборки)
С помощью задачи сборки после анализа можно внедрить ошибку сборки, которая намеренно приводит к сбою сборки. Вы вводите разрыв сборки, если в коде возникают проблемы с одним или несколькими средствами анализа.
Эту задачу можно настроить так, чтобы прерывать сборку при обнаружении ошибок определенными инструментами или всеми инструментами. Вы также можете настроить его на основе серьезности обнаруженных проблем, таких как ошибки или предупреждения.
Примечание.
По замыслу каждая задача сборки считается успешной, если она завершается без ошибок. Это верно независимо от того, обнаруживает средство проблемы или нет, так что сборка может быть завершена, позволяя всем средствам работать.
Дальнейшие действия
Инструкции по подключению и установке анализа кода Безопасности Майкрософт см. в нашем руководстве по подключению и установке .
Дополнительные сведения о настройке задач сборки см. в нашем руководстве по настройке или в руководстве по конфигурации YAML .
Если у вас есть дополнительные вопросы о расширении и предлагаемых средствах, посетите нашу страницу часто задаваемых вопросов.