Onboarding und Installation
Hinweis
Ab dem 31. Dezember 2022 wurde die Erweiterung „Microsoft-Sicherheitscodeanalyse“ (Microsoft Security Code Analysis, MSCA) eingestellt. MSCA wurde durch die Azure DevOps-Erweiterung von Microsoft Security DevOps ersetzt. Befolgen Sie die Anweisungen unter Konfigurieren, um die Erweiterung zu installieren und zu konfigurieren.
Voraussetzungen für die Einführung der Microsoft-Sicherheitscodeanalyse:
- Ein qualifiziertes Microsoft Unified Support-Angebot, wie im folgenden Abschnitt beschrieben.
- Eine Azure DevOps-Organisation.
- Berechtigungen zum Installieren von Erweiterungen für die Azure DevOps-Organisation.
- Quellcode, der mit einer in der Cloud gehosteten Azure DevOps-Pipeline synchronisiert werden kann.
Onboarding der Erweiterung „Microsoft-Sicherheitscodeanalyse“
Sie interessieren sich für den Kauf der Erweiterung „Microsoft-Sicherheitscodeanalyse“?
Wenn Sie eines der folgenden Supportangebote nutzen, wenden Sie sich an Ihren Technical Account Manager, um ein Zeitkontingent zu erwerben bzw. bereits erworbene Kontingente zu tauschen und Zugriff auf die Erweiterung zu erhalten:
- Unified Support Advanced-Tarif
- Unified Support Performance-Tarif
- Premier Support für Entwickler
- Premier Support für Partner
- Premier Support für Unternehmen
Wenn Sie über keine der oben genannten Supportvereinbarungen verfügen, können Sie die Erweiterung von einem unserer Partner erwerben.
Nächste Schritte:
Wenn Sie die oben genannten Qualifikationen erfüllen, wenden Sie sich an einen Partner aus der Liste unten, um die Erweiterung für die Microsoft-Sicherheitscodeanalyse zu erwerben. Wenden Sie sich andernfalls an den Support für die Microsoft-Sicherheitscodeanalyse.
Partner:
- Zonen – Kontaktinformationen: cloudsupport@zones.com
- Wortell – Kontaktinformationen: info@wortell.nl
- Logicalis – Kontaktinformationen: logicalisleads@us.logicalis.com
Partner werden
Mit einer Premier Support für Partner-Vereinbarung möchte das Team für die Analyse des Microsoft-Sicherheitscodes Partner gewinnen. Partner helfen Azure DevOps-Kunden, ihre Entwicklung sicherer zu machen, indem sie die Erweiterung an interessierte Kunden verkaufen, die mit Microsoft keine Supportvereinbarung für Unternehmen abgeschlossen haben. Interessierte Partner können sich hier registrieren.
Installieren der Erweiterung „Microsoft-Sicherheitscodeanalyse“
- Nachdem die Erweiterung für Ihre Azure DevOps-Organisation freigegeben wurde, navigieren Sie zur Seite Ihrer Azure DevOps-Organisation. Eine Beispiel-URL für eine derartige Seite lautet
https://dev.azure.com/contoso
. - Wählen Sie oben rechts das Warenkorbsymbol neben Ihrem Namen und dann Erweiterungen verwalten aus.
- Wählen Sie Freigegeben aus.
- Wählen Sie die Erweiterung Microsoft-Sicherheitscodeanalyse und dann Installieren aus.
- Wählen Sie in der Dropdownliste die Azure DevOps-Organisation aus, für die die Erweiterung installiert werden soll.
- Wählen Sie Installieren aus. Nach Abschluss der Installation können Sie die Erweiterung verwenden.
Hinweis
Auch wenn Sie keine Zugriffsberechtigungen für die Installation der Erweiterung haben, sollten Sie mit den Installationsschritten fortfahren. Sie können den Zugriff während der Installation bei Ihrem Azure DevOps-Organisationsadministrator anfordern.
Nach der Installation der Erweiterung werden die Buildtasks für die sichere Entwicklung angezeigt und können Ihrer Azure Pipelines-Instanz hinzugefügt werden.
Hinzufügen spezifischer Buildtasks zur Azure DevOps-Pipeline
- Öffnen Sie in Ihrer Azure DevOps-Organisation Ihr Teamprojekt.
- Wählen Sie Pipelines>Builds aus.
- Wählen Sie die Pipeline aus, der Sie die Buildtasks der Erweiterung hinzufügen möchten:
- Neue Pipeline: Wählen Sie Neu aus, und führen Sie die beschriebenen Schritte zum Erstellen einer neuen Pipeline aus.
- Pipeline bearbeiten: Wählen Sie eine vorhandene Pipeline aus, und wählen Sie dann Bearbeiten aus, um mit der Bearbeitung der Pipeline zu beginnen.
- Wählen Sie + aus, und wechseln Sie dann zum Bereich Aufgaben hinzufügen.
- Suchen Sie den Buildtask, den Sie hinzufügen möchten, in der Liste oder über das Suchfeld. Wählen Sie Hinzufügen.
- Geben Sie die für den Task erforderlichen Parameter an.
- Setzen Sie einen neuen Build in die Warteschlange.
Hinweis
Datei- und Ordnerpfade verhalten sich relativ zum Stammverzeichnis des Quellrepositorys. Wenn Sie die Ausgabedateien und -ordner als Parameter angeben, werden sie durch den allgemeinen Speicherort ersetzt, den wir für den Build-Agent definiert haben.
Tipp
- Um nach dem Build eine Analyse auszuführen, fügen Sie die Buildtasks der Microsoft-Sicherheitscodeanalyse nach dem Schritt „Buildartefakte veröffentlichen“ des Builds ein. Auf diese Weise können der Build beendet und Ergebnisse veröffentlicht werden, bevor statische Analysetools ausgeführt werden.
- Aktivieren Sie bei Buildtasks für die sichere Entwicklung immer Bei Fehler fortsetzen. Selbst wenn bei einem Tool Fehler auftreten, können die anderen ausgeführt werden. Zwischen den Tools bestehen keine Abhängigkeiten.
- Buildtasks der Microsoft-Sicherheitscodeanalyse verursachen nur einen Fehler, wenn ein Tool nicht erfolgreich ausgeführt werden kann. Sie werden allerdings selbst dann erfolgreich ausgeführt, wenn ein Tool Probleme im Code identifiziert. Mit dem Nachanalyse-Buildtask können Sie den Build so konfigurieren, dass er unterbrochen wird, wenn ein Tool Probleme im Code identifiziert.
- Einige Azure DevOps-Buildtasks werden nicht unterstützt, wenn sie über eine Releasepipeline ausgeführt werden. Genauer gesagt werden Tasks, durch die Artefakte über eine Releasepipeline veröffentlicht werden, von Azure DevOps nicht unterstützt.
- Eine Liste der vordefinierten Variablen in Azure DevOps Team Build, die Sie als Parameter angeben können, finden Sie unter Azure DevOps-Buildvariablen.
Nächste Schritte
Weitere Informationen zum Konfigurieren der Buildtasks finden Sie in der Konfigurationsanleitung oder im YAML-Konfigurationshandbuch.
Wenn Sie weitere Fragen zur Erweiterung und zu den angebotenen Tools haben, lesen Sie unsere Seite mit FAQs.