Azure DevOps でサード パーティプロバイダーのコード スキャン結果を表示する

GitHub Advanced Security との統合を続ける中で、発行タスク (AdvancedSecurity-Publish@1) を利用して、サード パーティのプロバイダーからセキュリティ結果を Advanced Security Code Scanning アラート ハブにインポートできるようになったことをお知らせします。

詳細については、リリース ノートを参照してください。

全般

• ワイルドカード プレフィックスと部分文字列を使用して検索結果を改善する

GitHub Advanced Security for Azure DevOps

• セキュリティ概要リスク ビューのリポジトリ アラートへのリンク
• サード パーティのプロバイダーと統合するための発行タスク

Azure Pipelines

• macOS-14 Sonoma プレビューと macOS-11 の提供終了
• パイプラインから削除されたノード 10-* エージェント パッケージ

全般

ワイルドカード プレフィックスと部分文字列を使用して検索結果を改善する

コード、作業項目、wiki、およびパッケージ全体でプレフィックスと部分文字列の検索としてワイルドカードをサポートする新しい検索機能をお知らせします。 検索語句の先頭と末尾にワイルドカードを追加すると、用語を含むすべての関連する文字列を検索できます。 たとえば、検索ボックスに「Test」と入力すると、"mytestclass"、"improvecodewithtest"、"test_wikiarticle" などの結果が生成されます。 この機能は、今後数週間にわたってロールアウトされます。

GitHub Advanced Security for Azure DevOps

セキュリティ概要リスク ビューのリポジトリ アラートへのリンク

セキュリティの概要のリスク ページが、各リポジトリの個々の [セキュリティの詳細] アラート ページに直接リンクされるようになりました。 カバレッジ ページと同様に、特定のリポジトリに対して行をポイントし、行の右側にあるアイコンをクリックしてアラート ページに直接移動します。

サード パーティのプロバイダーと統合するための発行タスク

AdvancedSecurity-Publish@1 タスクを使用すると、サード パーティのプロバイダーから簡単に結果を取得でき、AzureDevOps 用の GitHub の高度なセキュリティとの統合が強化されます。 これらのプロバイダーには、準拠した SARIF 形式で結果を生成するオープンソースのセキュリティ分析パイプライン タスクと商用セキュリティ分析パイプライン タスクの両方を含めることができます。 これを利用することで、Advanced Security Code Scanning アラート ハブ内で結果を表示できるようになりました。これにより、現在サポートされている分析ツールから Azure DevOps 内に直接コード セキュリティ アラートを統合して表示できます。 この統合では、SARIF 2.1 がサポートされ、セキュリティ体制の包括的な概要が提供されます。

Azure DevOps を使用して GitHub Advanced Security でコード スキャンを構成する方法の詳細については、「 コード スキャンを設定するを参照してください。

Azure Pipelines

macOS-14 Sonoma プレビューと macOS-11 の提供終了

macOS-14 のイメージが、Azure Pipelines ホステッド エージェントのプレビューで使用できるようになりました。 このイメージを使用するには、 vmImage:'macos-14'を含むように YAML ファイルを更新します。

- job: macOS14
  pool:
    vmImage: 'macOS-14'
  steps:
  - bash: |
      echo Hello from macOS Sonoma Preview
      sw_vers

macOS-14 にインストールされているソフトウェアについては、 イメージの構成を参照してください。

macOS-12イメージは、macOS-latestを指定するときに引き続き使用されます。 macOS-14が一般公開されると、macOS-latestは直接macOS-14に移行されます。 macOS-latestラベルは macOS-13 をスキップします。

macOS-11 イメージは非推奨となり、2024 年 6 月に廃止されます。

パイプラインから削除されたノード 10-* エージェント パッケージ

エージェントは、PowerShell または Node で実装されたタスクをサポートします。 エージェントには、さまざまなタスク要件に対応する複数のバージョンの Node が付属しています。

Node の新しいバージョンがリリースされると、 tasks はこれらの新しい Node バージョンを利用するように更新されます。 必要なランタイムがエージェントに含まれています。

ただし、古いノードがメンテナンス期間を終了しても、一部のパイプライン タスクは引き続きそれらに依存する場合があります。 Azure DevOps は、サポートされているタスクを、引き続きサポートされている Node バージョンに更新しますが、サードパーティのタスクの実行には古いバージョンが必要になる場合があります。

これを管理するために、次の 2 つのパイプライン エージェント パッケージがあります。

パッケージ	ノードのバージョン	説明
vsts-agent-*	6, 10, 16, 20	タスク実行ハンドラーとして使用できるすべての Node バージョンが含まれています
pipelines-agents-*	16, 20	最新の Node バージョンのみが含まれます。 これらのパッケージの目標は、Node の有効期間が終了したバージョンを含めないようにすることです。

Node 10 がバンドルされていないエージェントで Node 10 実行ハンドラーを必要とするタスクを実行する場合は、パイプラインに NodeTaskRunnerInstaller@0 タスクを挿入して実行ハンドラーをインストールできます。

  steps:
  - task: NodeTaskRunnerInstaller@0
    inputs:
      runnerVersion: 10

次のステップ

Note

これらの機能は、今後 2 ~ 3 週間にわたってロールアウトされます。

Azure DevOps に向かい、見てみましょう。

Azure DevOps に移動する

フィードバックの提供方法

これらの機能に関するご意見をお聞かせください。 ヘルプ メニューを使用して、問題を報告したり、提案を提供したりします。

Stack Overflow のコミュニティからアドバイスや質問に回答してもらうこともできます。

よろしくお願いします。

シルヴィウ アンドリカ