Delen via

Scanhulpprogramma's van derden integreren

  • Artikel

GitHub Advanced Security voor Azure DevOps maakt waarschuwingen voor codescans in een opslagplaats met behulp van informatie uit SARIF-bestanden (Static Analysis Results Interchange Format). De eigenschappen van het SARIF-bestand worden gebruikt voor het vullen van waarschuwingsgegevens, zoals de titel, locatie en beschrijvingstekst van de waarschuwing.

U kunt SARIF-bestanden genereren met behulp van veel hulpprogramma's voor het testen van statische analyses, waaronder CodeQL. De resultaten moeten SARIF versie 2.1.0 gebruiken. Zie SASRIF-zelfstudies voor meer informatie over SARIF.

Een analyse van codescans uploaden met Azure Pipelines

Als u Azure Pipelines wilt gebruiken om een SARIF-bestand van derden te uploaden naar een opslagplaats, moet uw pijplijn de AdvancedSecurity-Publish taak gebruiken, die deel uitmaakt van de taken die zijn gebundeld met GitHub Advanced Security for Azure DevOps. De belangrijkste invoerparameters die moeten worden gebruikt, zijn:

  • SarifsInputDirectory: hiermee configureert u de map met SARIF-bestanden die moeten worden geĆ¼pload. Het verwachte pad naar de map is absoluut.
  • Category: wijst eventueel een categorie toe voor resultaten in het SARIF-bestand. Hierdoor kunt u dezelfde doorvoer op meerdere manieren analyseren en de resultaten bekijken met behulp van de codescanweergaven in GitHub. U kunt bijvoorbeeld analyseren met behulp van meerdere hulpprogramma's en in mono-opslagplaatsen verschillende segmenten van de opslagplaats analyseren op basis van de subset van gewijzigde bestanden.

Hier volgt een voorbeeld van een integratie met de Microsoft Security DevOps-taak die eigendom is van het Microsoft Defender voor Cloud-team:

trigger:
- main

pool:
  vmImage: ubuntu-latest

steps:
- task: MicrosoftSecurityDevOps@1
  inputs:
    command: 'run'
    categories: 'IaC'
- task: AdvancedSecurity-Publish@1
  inputs:
    SarifsInputDirectory: '$(Build.ArtifactStagingDirectory)/.gdn/'

Resultaatvingervinger

Als uw SARIF-bestand niet is opgenomen partialFingerprints, berekent de AdvancedSecurity-Publish taak het partialFingerprints veld voor u en probeert dubbele waarschuwingen te voorkomen. Advanced Security kan alleen worden gemaakt partialFingerprints wanneer de opslagplaats zowel het SARIF-bestand als de broncode bevat die in de statische analyse wordt gebruikt. Zie Gegevens opgeven voor het bijhouden van waarschuwingen voor het scannen van code tijdens uitvoeringen voor meer informatie over het voorkomen van dubbele waarschuwingen.

Resultaten van hulpprogramma's valideren

U kunt controleren of de SARIF-eigenschappen de ondersteunde grootte hebben voor uploaden en of het bestand compatibel is met codescans. Zie Het SARIF-bestand valideren voor meer informatie. Als u wilt controleren of een SARIF-bestand specifiek voldoet aan de vereisten van Advanced Security, raadpleegt u SARIF-validator en selecteert u Azure DevOps ingestion rules.