Azure DevOps でサード パーティプロバイダーのコード スキャン結果を表示する

GitHub Advanced Security との統合を続ける中で、発行タスク (AdvancedSecurity-Publish@1) を利用して、サード パーティのプロバイダーからセキュリティ結果を Advanced Security Code Scanning アラート ハブにインポートできるようになったことをお知らせします。

詳細については、リリース ノートを参照してください。

全般

• ワイルドカードプレフィックスと部分文字列を使用して検索結果を改善する

Azure DevOps 用の GitHub Advanced Security

• セキュリティ概要リスク ビューのリポジトリ アラートへのリンク
• サード パーティのプロバイダーと統合するための発行タスク

Azure Pipelines

• macOS-14 Sonoma プレビューと macOS-11 の提供終了
• パイプラインから削除されたノード 10-* エージェント パッケージ

全般

ワイルドカードプレフィックスと部分文字列を使用して検索結果を改善する

コード、作業項目、wiki、およびパッケージ全体のプレフィックスおよび部分文字列検索としてカードワイルドをサポートする新しい検索機能をお知らせします。 検索語句の先頭と末尾に野生のカードを追加すると、用語を含むすべての関連する文字列を見つけることができます。 たとえば、検索ボックスに「Test」と入力すると、"mytestclass"、"improvecodewithtest"、"test_wikiarticle" などの結果が生成されます。 この機能は、今後数週間にわたってロールアウトされます。

Azure DevOps 用の GitHub Advanced Security

セキュリティ概要リスク ビューのリポジトリ アラートへのリンク

セキュリティの概要のリスク ページが、各リポジトリの個々の [セキュリティの詳細] アラート ページに直接リンクされるようになりました。 カバレッジ ページと同様に、特定のリポジトリに対して行をポイントし、行の右側にあるアイコンをクリックしてアラート ページに直接移動します。

サード パーティのプロバイダーと統合するための発行タスク

AdvancedSecurity-Publish@1 タスクを使用すると、サード パーティのプロバイダーから簡単に結果を取得でき、AzureDevOps の GitHub の高度なセキュリティとの統合が強化されます。 これらのプロバイダーには、準拠した SARIF 形式で結果を生成するオープンソースのセキュリティ分析パイプライン タスクと商用セキュリティ分析パイプライン タスクの両方を含めることができます。 これを利用することで、Advanced Security Code Scanning アラート ハブ内で結果を表示できるようになりました。これにより、現在サポートされている分析ツールから Azure DevOps 内に直接コード セキュリティ アラートを統合して表示できます。 この統合では、SARIF 2.1 がサポートされ、セキュリティ体制の包括的な概要が提供されます。

Azure DevOps を使用して GitHub Advanced Security でコード スキャンを構成する方法の詳細については、「コード スキャンの設定」を参照してください。

Azure Pipelines

macOS-14 Sonoma プレビューと macOS-11 の提供終了

この macOS-14 イメージは、Azure Pipelines でホストされるエージェントのプレビューで使用できるようになりました。 このイメージを使用するには、次を含むように vmImage:'macos-14'YAML ファイルを更新します。

- job: macOS14
  pool:
    vmImage: 'macOS-14'
  steps:
  - bash: |
      echo Hello from macOS Sonoma Preview
      sw_vers

macOS-14 にインストールされているソフトウェアについては、イメージの構成を参照してください。

イメージは macOS-12 指定するときに macOS-latest引き続き使用されます。 一般公開されたら macOS-14 、 macOS-latest 直接 macOS-14に移行します。 ラベルは macOS-latest macOS-13 をスキップします。

イメージは macOS-11 非推奨であり、2024 年 6 月に廃止される予定です。

パイプラインから削除されたノード 10-* エージェント パッケージ

エージェントは、PowerShell または Node で実装されたタスクをサポートします。 エージェントには、さまざまなタスク要件に対応する複数のバージョンの Node が付属しています。

Node の新しいバージョンがリリースされると、 これらの新しい Node バージョンを利用するようにタスク が更新されます。 必要なランタイムがエージェントに含まれています。

ただし、古いノードがメインテナント ウィンドウを終了すると、一部のパイプライン タスクは引き続きそれらに依存する場合があります。 Azure DevOps は、サポートされているタスクを、引き続きサポートされている Node バージョンに更新しますが、サードパーティのタスクの実行には古いバージョンが必要になる場合があります。

これを管理するために、次の 2 つのパイプライン エージェント パッケージがあります。

パッケージ	ノードのバージョン	説明
vsts-agent-*	6, 10, 16, 20	タスク実行ハンドラーとして使用できるすべての Node バージョンが含まれています
pipelines-agents-*	16, 20	最新の Node バージョンのみが含まれます。 これらのパッケージの目標は、Node の有効期間が終了したバージョンを含めないようにすることです。

Node 10 がバンドルされていないエージェントで Node 10 実行ハンドラーを必要とするタスクを実行する場合は、パイプラインにNodeTaskRunnerInstaller@0 タスクを挿入して実行ハンドラーをインストールできます。

  steps:
  - task: NodeTaskRunnerInstaller@0
    inputs:
      runnerVersion: 10

次のステップ

Note

これらの機能は、今後 2 ~ 3 週間にわたってロールアウトされます。

Azure DevOps に向かい、見てみましょう。

Azure DevOps に移動する

フィードバックの提供方法

これらの機能に関するご意見をお聞かせください。 ヘルプ メニューを使用して、問題を報告したり、提案を提供したりします。

Stack Overflow のコミュニティからアドバイスや質問に回答してもらうこともできます。

よろしくお願いします。

シルヴィウ アンドリカ