Partager via

Amélioration de l’analyse avancée de la sécurité GitHub

  • Article

Nous sommes heureux d’introduire de nouvelles mises à jour dans GitHub Advanced Security pour Azure DevOps, avec des builds sans validation pour l’analyse des dépendances étendues et des aperçus de fichiers améliorés avec des annotations pour les analyses CodeQL.

Pour plus d’informations, consultez les notes de publication.

GitHub Advanced Security pour Azure DevOps

Azure Boards :

Azure Repos

Azure Pipelines

Test Plans

GitHub Advanced Security pour Azure DevOps

Builds sans validation prises en charge pour l’analyse des dépendances

L’analyse des dépendances n’a plus besoin d’une nouvelle validation pour déclencher une soumission de résultats. Avec cette mise à jour, toutes les builds envoient des composants détectés pour l’analyse des vulnérabilités, qu’elles incluent ou non des modifications de validation. Cette amélioration simplifie les flux de travail de sécurité et étend la couverture de l’analyse.

Aperçus de fichiers et annotations pour les analyses CodeQL à l’aide de sourcesFolder

À présent, lors de l’utilisation de la variable dans les sourcesFolder builds CodeQL, les aperçus de fichiers et les annotations s’affichent avec précision dans les alertes et les demandes de tirage, ce qui vous donne une visibilité cohérente et fiable des résultats de l’analyse.

Azure Boards

Nouvelle limite d’API REST sur les commentaires d’élément de travail

Pour améliorer la sécurité, une nouvelle limite a été définie sur le nombre de commentaires qui peuvent être ajoutés aux éléments de travail via l’API REST. Chaque élément de travail prend désormais en charge un maximum de 1 000 commentaires via l’API. Cette restriction s’applique uniquement à l’API REST, et les utilisateurs peuvent toujours ajouter manuellement des commentaires via l’interface web, même au-delà du seuil de 1 000 commentaires.

Azure Repos

Rechercher des demandes de tirage par titre sur la page de référencement des demandes de tirage

La page de référencement des demandes de tirage inclut désormais un filtre par titre de demande de tirage, ce qui facilite la localisation des demandes de tirage spécifiques.

Capture d’écran du filtrage par titre de demande de tirage.

Azure Pipelines

macOS-15 Sequoia est disponible en préversion

L’image macOS-15 est désormais disponible en préversion pour des agents hébergés Azure Pipelines. Pour utiliser cette image, mettez à jour votre fichier YAML pour inclure vmImage: 'macOS-15':

- job: macOS15
  pool:
    vmImage: 'macOS-15'
  steps:
  - bash: |
      echo Hello from macOS Sequoia Preview
      sw_vers

Pour les logiciels installés sur macOS-15, consultez la configuration de l’image.

L’image macOS-14 sera toujours utilisée lors de la spécification macOS-latest. Une fois macOS-15 disponible en disponibilité générale, macOS-latest migre directement vers macOS-15.

Améliorations apportées à l’attribution d’inscription d’application de connexion de service

Lorsqu’une connexion de service cible Azure, elle crée automatiquement une inscription d’application. Pour trouver l’identité associée à une connexion de service, vous pouvez utiliser le lien « Gérer l’inscription d’application » dans la page des détails de la connexion de service. Nous avons reçu des commentaires indiquant que, lors de la navigation dans les inscriptions d’applications directement dans l’ID Microsoft Entra, il n’est pas toujours clair pour quoi une inscription d’application est utilisée.

Pour améliorer l’expérience d’attribution, nous avons apporté les modifications suivantes :

Informations de référence sur l’inscription des applications et la gestion des services

Les connexions de service Azure nouvellement créées peuvent désormais inclure une référence de gestion des services en plus d’une description :

Capture d’écran de la page de création de connexion de service.

Ces informations sont utilisées pour remplir les métadonnées d’inscription d’application qui sont disponibles dans le panneau Personnalisation et propriétés :

Capture d’écran des propriétés d’inscription d’application.

Si une description n’a pas été fournie lors de la création de la connexion de service, une note par défaut est ajoutée à l’inscription de l’application.

Nouvelle convention d’affectation de noms pour les inscriptions d’applications dans les connexions de service Azure

Auparavant, les connexions de service étaient nommées au format <azure devops org>-<azure devops project>-<azure subscription id>, ce qui rend difficile la distinction entre les inscriptions d’applications liées au même abonnement Azure. Pour améliorer la clarté, les noms d’inscription d’application incluent désormais l’ID de connexion de service, suivant ce format : <azure devops org>-<azure devops project>-<service connection id>

Vous trouverez l’ID de connexion de service dans la page détails de la connexion de service :

Capture d’écran de la page détails de la connexion de service.

Vous pouvez également suivre ou partager le lien « Gérer l’inscription de l’application » ou « Gérer l’identité » si une identité managée est utilisée.

Test Plans

Azure Test Runner version 1.2.2

Azure Test Plans a publié un correctif dans la version 1.2.2 pour un problème récent dans les plans de test où Azure Test Runner(ATR) a rencontré des échecs de lancement dans Chrome version 130. Ce problème s’est produit en raison de la prise en charge ajoutée de Chrome pour les URL de schéma non spéciales, ce qui a affecté le flux utilisateur ATR. Avec cette mise à jour, le bogue de régression est résolu et les fonctionnalités ATR sont restaurées. Pour plus d’informations sur ce bogue de régression, consultez ce suivi des problèmes dans Chromium.

Nous vous encourageons à utiliser l’application web pour des fonctionnalités améliorées. Si vous trouvez des fonctionnalités manquantes dans l’application web, nous aimerions entendre de vous. Partagez vos commentaires avec nous !

Nouvelles fonctionnalités de tri dans le répertoire Plans de test

Le répertoire Plans de test offre désormais des options de tri améliorées ! Avec cette mise à jour, vous pouvez organiser rapidement chaque colonne alphanumériquement, en fournissant un moyen simplifié de rechercher et d’accéder à vos données.

Gif pour démonstration du tri dans le répertoire des plans de test.

Mise en pause automatique pour la préversion de l’exécution de cas de test

Les testeurs manuels rencontrent souvent des difficultés avec la perte de progression sur les cas de test si une exécution incomplète n’est pas marquée comme « Suspendu » avant de sélectionner « Enregistrer et fermer ». Cela peut entraîner une perte de travail sur des cas complexes ou longs, ce qui oblige les testeurs à recommencer. Pour résoudre ce problème, nous introduisons la pause automatique pour l’exécution de cas de test. Cette fonctionnalité interrompt automatiquement un cas de test en cas de rupture ou d’interruption, ce qui garantit que toutes les données sont enregistrées sans avoir besoin d’une pause manuelle. Avec la pause automatique, les testeurs peuvent facilement reprendre là où ils se sont arrêtés, en simplifiant le processus de test et en le rendant plus efficace. Une préversion sera disponible dans les semaines à venir : envoyez-nous un e-mail si vous souhaitez vous joindre !

Nouvelle version pour les extensions de test et de commentaires (TFE)

Nous sommes ravis d’annoncer la publication de TFE version 1.0.247.0, désormais disponible sur Chrome et Edge. Installez la dernière version pour améliorer les fonctionnalités, avec un correctif pour le mode des parties prenantes, l’adressage et la résolution des interruptions précédentes. Profitez d’une expérience plus fluide et plus fiable avec cette dernière version !

Étapes suivantes

Notes

Ces fonctionnalités seront déployées au cours des deux à trois prochaines semaines.

Accédez à Azure DevOps et jetez un coup d’œil.

Accéder à Azure DevOps

Comment fournir des commentaires

Nous aimerions savoir ce que vous pensez de ces fonctionnalités. Utilisez le menu Aide pour signaler un problème ou faire une suggestion.

Faire une suggestion

Vous pouvez également obtenir des conseils et répondre à vos questions par la communauté sur Stack Overflow.

Merci,

Dan Hellem