Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Uyarı
31 Aralık 2022'den itibaren Microsoft Güvenlik Kodu Analizi (MSCA) uzantısı kullanımdan kaldırılmıştır. MSCA, Microsoft Security DevOps Azure DevOps uzantısıyla değiştirilir. Uzantıyı yüklemek ve yapılandırmak için yapılandırma yönergeleri izleyin.
Microsoft Güvenlik Kodu Analizi uzantısıyla ekipler Azure DevOps sürekli tümleştirme ve teslim (CI/CD) işlem hatlarına güvenlik kodu analizi ekleyebilir. Bu analiz, Microsoft'taki Güvenli Geliştirme Yaşam Döngüsü (SDL) uzmanları tarafından önerilir.
Tutarlı bir UX, çalışan araçların karmaşıklığını gizleyerek güvenliği kolaylaştırır. Araçların NuGet tabanlı teslimi sayesinde ekiplerin artık araçların yüklenmesini veya güncelleştirilimini yönetmesi gerekmez. Derleme görevleri için hem komut satırı hem de temel arabirimlerle, tüm kullanıcılar araçlar üzerinde istedikleri kadar denetim sahibi olabilir.
Teams aşağıdakiler gibi güçlü postprocessing özelliklerini de kullanabilir:
- Saklama amaçlı günlükleri yayımlama.
- Eyleme dönüştürülebilir, geliştirici odaklı raporlar oluşturma.
- Regresyon testlerinde derleme kesintilerini yapılandırma.
Microsoft Güvenlik Kodu Analizi'ni neden kullanmalıyım?
Güvenlik basitleştirilmiş
Azure DevOps işlem hattınıza Microsoft Güvenlik Kodu Analizi araçları eklemek, yeni görevler eklemek kadar kolaydır. Görevleri özelleştirin veya varsayılan davranışlarını kullanın. Görevler, Azure DevOps işlem hattınızın bir parçası olarak çalışır ve birçok sonuç türünü ayrıntılandıran günlükler oluşturur.
Temiz derlemeler
Araçlar tarafından bildirilen ilk sorunları giderdikten sonra, uzantıyı yeni sorunlarda derlemeleri kesecek şekilde yapılandırabilirsiniz. Her çekme isteği için sürekli bütünleştirme derlemeleri ayarlamak kolaydır.
Ayarlayın ve unutun
Varsayılan olarak, derleme görevleri ve araçları up-totarihinde kalır. Bir aracın güncellenmiş bir sürümü varsa indirmeniz ve yüklemeniz gerekmez. Uzantı, güncelleştirme işlemini sizin için halleder.
Kaputun altında
Uzantının derleme görevleri şu karmaşıklıkları gizler:
- Güvenlik statik çözümleme araçlarını çalıştırma.
- Günlük dosyalarındaki sonuçları işleyerek özet rapor oluşturmak veya derlemeyi durdurmak.
Microsoft Güvenlik Kodu Çözümleme araç kümesi
Microsoft Güvenlik Kodu Analizi uzantısı, önemli çözümleme araçlarının en son sürümlerini kullanıma hazır hale getirir. Uzantı hem Microsoft tarafından yönetilen araçları hem de açık kaynak araçları içerir.
bu araçlar, işlem hattını yapılandırmak ve çalıştırmak için ilgili derleme görevini kullandıktan sonra otomatik olarak bulutta barındırılan aracıya indirilir.
Bu bölümde, uzantıda şu anda kullanılabilen araç kümesi listelenir. Daha fazla araç ekleneceğine dikkat edin. Ayrıca, eklememizi istediğiniz araçlarla ilgili önerilerinizi bize gönderin.
Kötü Amaçlı Yazılımdan Koruma Tarayıcısı
Kötü Amaçlı Yazılımdan Koruma Tarayıcısı derleme görevi artık Microsoft Güvenlik Kodu Analizi uzantısına eklenmiştir. Bu görev, Windows Defender'ın zaten yüklü olduğu bir derleme aracısı üzerinde çalıştırılmalıdır. Daha fazla bilgi için Windows Defender web sitesine bakın.
BinSkim
BinSkim, derleyici ayarlarını, bağlayıcı ayarlarını ve ikili dosyaların güvenlikle ilgili diğer özelliklerini doğrulayan Taşınabilir Yürütülebilir (PE) basit bir tarayıcıdır. Bu derleme görevi, binskim.exe konsol uygulaması için bir komut satırı arayüzü sağlar. BinSkim açık kaynak bir araçtır. Daha fazla bilgi için bkz. GitHub'da BinSkim.
Kimlik Bilgisi Tarayıcısı
Kaynak kodunda depolanan parolalar ve diğer gizli diziler önemli bir sorundur. Kimlik Bilgisi Tarayıcısı, bu sorunu çözmeye yardımcı olan özel bir statik analiz aracıdır. Araç, kaynak kodunuzda ve derleme çıkışınızda kimlik bilgilerini, gizli dizileri, sertifikaları ve diğer hassas içeriği algılar.
Roslyn Çözümleyicileri
Roslyn Çözümleyicileri, Yönetilen C# ve Visual Basic kodunu statik olarak analiz etmek için Microsoft'un derleyiciyle tümleşik aracıdır. Daha fazla bilgi için bkz. Roslyn tabanlı çözümleyiciler.
TSLint
TSLint, TypeScript kodunu okunabilirlik, bakım ve işlevsellik hataları açısından denetleen genişletilebilir bir statik çözümleme aracıdır. Modern düzenleyiciler ve derleme sistemleri tarafından yaygın olarak desteklenir. Kendi lint kurallarınız, yapılandırmalarınız ve biçimlendiricileriniz ile özelleştirebilirsiniz. TSLint açık kaynak bir araçtır. Daha fazla bilgi için bkz. GitHub'da TSLint.
Sonuçların analizi ve son işlemesi
Microsoft Güvenlik Kodu Analizi uzantısının üç işlem sonrası görevi de vardır. Bu görevler, güvenlik aracı görevleri tarafından bulunan sonuçları çözümlemenize yardımcı olur. İşlem hattına eklendiğinde, bu görevler genellikle diğer tüm araç görevlerini izler.
Güvenlik Analizi Günlüklerini Yayımlama
Güvenlik Çözümleme Günlüklerini Yayımla derleme görevi, derleme sırasında çalıştırılacak güvenlik araçlarının günlük dosyalarını korur. Araştırma ve izleme için bu günlükleri okuyabilirsiniz.
Günlük dosyalarını Azure Artifacts'e .zip dosyası olarak yayımlayabilirsiniz. Ayrıca bunları özel derleme aracınızdan erişilebilir bir dosya paylaşımına kopyalayabilirsiniz.
Güvenlik Raporu
Güvenlik Raporu oluşturma görevi günlük dosyalarını ayrıştırıyor. Bu dosyalar, derleme sırasında çalışan güvenlik araçları tarafından oluşturulur. Ardından derleme görevi tek bir özet rapor dosyası oluşturur. Bu dosya, çözümleme araçları tarafından bulunan tüm sorunları gösterir.
Bu görevi, belirli araçlar veya tüm araçlar için sonuçları rapor etmek üzere yapılandırabilirsiniz. Ayrıca, yalnızca hatalar veya hem hatalar hem de uyarılar gibi hangi sorun düzeyinin bildirileceğini seçebilirsiniz.
Analiz Sonrası (derleme sonu)
Analiz Sonrası derleme göreviyle, bir derlemenin kasıtlı olarak başarısız olmasına neden olacak bir derleme hatası enjekte edebilirsiniz. Kodda bir veya daha fazla analiz aracı sorunlar bildiriyorsa derleme işlemini durdurursunuz.
Bu görevi, belirli araçlar veya tüm araçlar ile bulunan sorunlar için derlemeyi bozacak şekilde yapılandırabilirsiniz. Ayrıca, hata veya uyarı gibi bulunan sorunların önem derecesine göre de yapılandırabilirsiniz.
Uyarı
Tasarım gereği, görev başarıyla tamamlanırsa her derleme görevi başarılı olur. Bu, bir araç sorun bulsa da bulmasa da geçerlidir, böylece tüm araçların çalışmasına izin verilerek derlemenin tamamlanmasına olanak tanınabilir.
Sonraki adımlar
Microsoft Güvenlik Kodu Analizi'ni ekleme ve yükleme yönergeleri için Ekleme ve yükleme kılavuzumuzabakın.
Derleme görevlerini yapılandırma hakkında daha fazla bilgi için Yapılandırma kılavuzumuza veya YAML Yapılandırma kılavuzuna bakın.
Uzantı ve sunulan araçlar hakkında başka sorularınız varsa SSS sayfamıza göz atın.