Condividi tramite


Attività AdvancedSecurity-Codeql-Analyze@1 - Advanced Security Perform CodeQL analysis v1

Analizza il codice in un repository Git Azure Repos per individuare le vulnerabilità di sicurezza e gli errori di codifica. È necessario disporre di GitHub Advanced Security per Azure DevOps abilitato per l'analisi del repository.

Sintassi

# Advanced Security Perform CodeQL analysis v1
# Finalizes the CodeQL database and runs the analysis queries.
- task: AdvancedSecurity-Codeql-Analyze@1
  inputs:
    #WaitForProcessing: false # boolean. Enable Wait for Processing. Default: false.
    #WaitForProcessingInterval: '5' # string. Optional. Use when WaitForProcessing = true. Wait for Processing Time Interval. Default: 5.
    #WaitForProcessingTimeout: '120' # string. Optional. Use when WaitForProcessing = true. Wait for Processing Timeout. Default: 120.

Input

WaitForProcessing - Abilita attesa elaborazione
boolean. Valore predefinito: false.

Attendere che la sicurezza avanzata elabori il file SARIF pubblicato prima del completamento.


WaitForProcessingInterval - Attendere l'intervallo di tempo di elaborazione
string. facoltativo. Usare quando WaitForProcessing = true. Valore predefinito: 5.

Tempo, in secondi, di attesa tra ogni chiamata a Sicurezza avanzata per controllare lo stato di elaborazione SARIF.


WaitForProcessingTimeout - Attendere il timeout di elaborazione
string. facoltativo. Usare quando WaitForProcessing = true. Valore predefinito: 120.

Tempo, in secondi, di attesa dell'elaborazione del file SARIF da parte di Sicurezza avanzata prima del completamento.


Opzioni di controllo delle attività

Tutte le attività dispongono di opzioni di controllo oltre ai relativi input attività. Per altre informazioni, vedere Opzioni di controllo e proprietà comuni delle attività.

Variabili di output

Nessuno.

Osservazioni

Importante

Questa attività è supportata solo con Azure Repos repository Git.

Prerequisiti

Affinché l'attività venga completata correttamente e popolata la scheda Sicurezza avanzata per il repository analizzato, è necessario abilitare Sicurezza avanzata per tale repository prima di eseguire una compilazione con l'attività di analisi delle dipendenze inclusa.

L'attività è disponibile per l'esecuzione su agenti self-hosted e agenti ospitati da Microsoft. Per gli agenti self-hosted, vedere istruzioni aggiuntive per la configurazione dell'agente self-hosted.

La pipeline deve chiamare le attività nell'ordine seguente.

  1. Inizializzare CodeQL
  2. AutoBuild (o le attività di compilazione personalizzate)
  3. Eseguire l'analisi codeQL

L'attività AutoBuild è facoltativa e può essere sostituita con le attività di compilazione personalizzate. È necessario eseguire AutoBuild o le attività di compilazione personalizzate per analizzare il progetto.

L'attività di analisi deve essere visualizzata dopo l'inizializzazione dell'attività per il completamento.

# Initialize CodeQL database 
- task: AdvancedSecurity-Codeql-Init@1
  inputs: 
    languages: 'csharp' 
  displayName: 'Advanced Security Initialize CodeQL' 

# Build project using Autobuild or your own custom build steps 
- task: AdvancedSecurity-Codeql-Autobuild@1
  displayName: 'Advanced Security Autobuild' 

# Run analysis 
- task: AdvancedSecurity-Codeql-Analyze@1 
  displayName: 'Advanced Security Code Scanning' 

Requisiti

Requisito Descrizione
Tipi di pipeline YAML, build classica, versione classica
Viene eseguito in Agente, DeploymentGroup
Richieste Nessuno
Capabilities Questa attività non soddisfa le richieste per le attività successive nel processo.
Restrizioni dei comandi Qualsiasi
Variabili impostabili Qualsiasi
Versione agente Tutte le versioni dell'agente supportate.
Categoria attività Compilazione

Vedi anche