Úvodní školení a instalace
Poznámka:
Od 31. prosince 2022 se rozšíření MICROSOFT Security Code Analysis (MSCA) vyřadí z provozu. MSCA se nahrazuje rozšířením Microsoft Security DevOps Azure DevOps. Postupujte podle pokynů v Konfigurace pro instalaci a konfiguraci rozšíření.
Požadavky na zahájení analýzy kódu zabezpečení microsoftu:
- Opravňující nabídka sjednocené podpory Microsoftu, jak je podrobně popsáno v následující části.
- Organizace Azure DevOps.
- Oprávnění k instalaci rozšíření pro organizaci Azure DevOps
- Zdrojový kód, který je možné synchronizovat s kanálem Azure DevOps hostovaným v cloudu.
Zavedení rozšíření Microsoft Security Code Analysis
Máte zájem o zakoupení rozšíření Microsoft Security Code Analysis?
Pokud máte některou z následujících nabídek podpory, požádejte svého technického manažera o zakoupení nebo prohození stávajících hodin, abyste získali přístup k rozšíření:
- Rozšířená úroveň sjednocené podpory
- Jednotná úroveň výkonu podpory
- Premier Support pro vývojáře
- Prémiová podpora pro partnery
- Nejvyšší podpora pro podniky
Pokud nemáte některou z uvedených smluv o podpoře, můžete si rozšíření koupit od některého z našich partnerů.
Další kroky:
Pokud splňujete výše uvedené kvalifikace, obraťte se na partnera z následujícího seznamu a kupte si rozšíření Microsoft Security Code Analysis. V opačném případě kontaktujte podporu analýzy kódu zabezpečení společnosti Microsoft.
partneři:
- Zóny – Kontaktní údaje: cloudsupport@zones.com
- Wortell – Kontaktní údaje: info@wortell.nl
- Logicalis – Kontaktní údaje: logicalisleads@us.logicalis.com
Staňte se partnerem
Tým pro analýzu kódu zabezpečení společnosti Microsoft chce připojit partnery se smlouvou Premier Support for Partners. Partneři pomohou zákazníkům Azure DevOps vyvíjet bezpečněji tím, že rozšíření prodávají zákazníkům, kteří si ho chtějí koupit, ale nemají smlouvu Enterprise Support s Microsoftem. Zájemci mohou zaregistrovat zde.
Instalace rozšíření Microsoft Security Code Analysis
- Po sdílení rozšíření s vaší organizací Azure DevOps přejděte na stránku vaší organizace Azure DevOps. Příklad adresy URL takové stránky je
https://dev.azure.com/contoso
. - Vyberte ikonu nákupní tašky v pravém horním rohu vedle svého jména a pak vyberte Spravovat rozšíření.
- Vyberte Sdílené.
- Vyberte rozšíření Microsoft Security Code Analysis, vyberte nainstalovat.
- V rozevíracím seznamu zvolte organizaci Azure DevOps, do které chcete rozšíření nainstalovat.
- Vyberte volbu Instalovat. Po dokončení instalace můžete rozšíření začít používat.
Poznámka:
I když nemáte přístup k instalaci rozšíření, pokračujte kroky instalace. Během procesu instalace můžete požádat o přístup od správce organizace Azure DevOps.
Po instalaci rozšíření jsou úlohy zabezpečeného vývojového sestavení viditelné a dostupné pro přidání do služby Azure Pipelines.
Přidání konkrétních úloh sestavení do kanálu Azure DevOps
- V organizaci Azure DevOps otevřete týmový projekt.
- Vyberte kanály>sestavení.
- Vyberte kanál, do kterého chcete přidat úlohy sestavení rozšíření:
- Nový kanál: Vyberte Nový a podle podrobných pokynů vytvořte nový kanál.
- Upravit kanál: Vyberte existující kanál a pak vyberte Upravit a začněte kanál upravovat.
- Vyberte + a přejděte do podokna Přidat úkoly.
- V seznamu nebo pomocí vyhledávacího pole vyhledejte úlohu sestavení, kterou chcete přidat. Vyberte Přidat.
- Zadejte parametry potřebné pro úkol.
- Zařadíte do fronty nové sestavení.
Poznámka:
Cesty k souborům a složkám jsou relativní vzhledem ke kořenovému adresáři zdrojového úložiště. Pokud jako parametry zadáte výstupní soubory a složky, nahradí se běžným umístěním, které jsme definovali v agentu sestavení.
Návod
- Pokud chcete spustit analýzu po sestavení, umístěte úlohy Analýzy kódu zabezpečení společnosti Microsoft po kroku Publikování artefaktů sestavení. Tímto způsobem může sestavení dokončit a publikovat výsledky před spuštěním nástrojů pro statickou analýzu.
- Vždy vyberte Pokračovat v případě chyby pro úlohy sestavení zabezpečeného vývoje. I když jeden nástroj selže, ostatní můžou fungovat. Mezi nástroji neexistují žádné vzájemné závislosti.
- Úlohy sestavení analýzy bezpečnostního kódu microsoftu selžou jenom v případě, že se nástroj nepodaří úspěšně spustit. Ale uspěli i v případě, že nástroj identifikuje problémy v kódu. Pomocí úlohy sestavení po analýze můžete nakonfigurovat sestavení tak, aby selhalo, když nástroj identifikuje problémy v kódu.
- Některé úlohy sestavení Azure DevOps nejsou podporovány při spuštění prostřednictvím vydávacího kanálu. Konkrétně Azure DevOps nepodporuje úlohy, které publikují artefakty z uvolňovacího kanálu.
- Seznam předdefinovaných proměnných pro Azure DevOps Team Build, které můžete zadat jako parametry, najdete pod Proměnné sestavení Azure DevOps.
Další kroky
Další informace o konfiguraci úloh sestavení najdete v našem průvodci konfigurací nebo v průvodci konfigurací ve formátu YAML .
Pokud máte další otázky týkající se rozšíření a nabízených nástrojů, podívejte se na naši stránku nejčastějších dotazů.