Delen via


Over Microsoft Security Code Analysis

Notitie

Met ingang van 31 december 2022 is de MSCA-extensie (Microsoft Security Code Analysis) buiten gebruik gesteld. MSCA wordt vervangen door de Microsoft Security DevOps Azure DevOps-extensie. Volg de instructies in Configureren om de extensie te installeren en configureren.

Met de Microsoft Security Code Analysis-extensie kunnen teams beveiligingscodeanalyse toevoegen aan hun Azure DevOps-pijplijnen voor continue integratie en levering (CI/CD). Deze analyse wordt aanbevolen door de SDL-experts (Secure Development Lifecycle) van Microsoft.

Een consistente UX vereenvoudigt de beveiliging doordat de complexiteit van het uitvoeren van hulpprogramma's wordt verborgen. Met de nuGet-levering van de hulpprogramma's hoeven teams de installatie of update van hulpprogramma's niet meer te beheren. Met zowel opdrachtregel- als basisinterfaces voor buildtaken hebben alle gebruikers zoveel controle over de hulpprogramma's als ze willen.

Teams kan ook gebruikmaken van krachtige mogelijkheden na verwerking, zoals:

  • Publicatielogboeken voor retentie.
  • Het genereren van bruikbare, op ontwikkelaars gerichte rapporten.
  • Build-einden configureren voor regressietests.

Waarom zou ik Microsoft Security Code Analysis gebruiken?

Beveiliging vereenvoudigd

Het toevoegen van Microsoft Security Code Analysis-hulpprogramma's aan uw Azure DevOps-pijplijn is net zo eenvoudig als het toevoegen van nieuwe taken. Pas de taken aan of gebruik hun standaardgedrag. Taken worden uitgevoerd als onderdeel van uw Azure DevOps-pijplijn en produceren logboeken met allerlei soorten resultaten.

Builds opschonen

Nadat u de eerste problemen hebt opgelost die door de hulpprogramma's zijn gemeld, kunt u de extensie zo configureren dat builds op nieuwe problemen worden verbroken. Het instellen van continue integratie bouwt op elke pull-aanvraag is eenvoudig.

Instellen en vergeten

Standaard blijven de buildtaken en -hulpprogramma's up-to-date. Als er een bijgewerkte versie van een hulpprogramma is, hoeft u het niet te downloaden en te installeren. De extensie zorgt voor het bijwerken voor u.

Onderhuids

De buildtaken van de extensie verbergen de complexiteit van:

  • Hulpprogramma's voor statische analyse van beveiliging uitvoeren.
  • De resultaten van logboekbestanden verwerken om een overzichtsrapport te maken of de build te verbreken.

Hulpprogrammaset Microsoft Security Code Analysis

De Microsoft Security Code Analysis-extensie maakt de nieuwste versies van belangrijke analysehulpprogramma's direct voor u beschikbaar. De extensie bevat zowel door Microsoft beheerde hulpprogramma's als opensource-hulpprogramma's.

Deze hulpprogramma's worden automatisch gedownload naar de in de cloud gehoste agent nadat u de bijbehorende build-taak hebt gebruikt om de pijplijn te configureren en uit te voeren.

In deze sectie vindt u de set hulpprogramma's die momenteel beschikbaar zijn in de extensie. Let op de toevoeging van meer hulpprogramma's. Stuur ons ook uw suggesties voor hulpprogramma's die u wilt toevoegen.

Antimalwarescanner

De buildtaak antimalwarescanner is nu opgenomen in de Microsoft Security Code Analysis-extensie. Deze taak moet worden uitgevoerd op een buildagent waarop Windows Defender al is geïnstalleerd. Zie de website van Windows Defender voor meer informatie.

BinSkim

BinSkim is een portable executable (PE) lichtgewicht scanner die compilerinstellingen, linkerinstellingen en andere beveiligingskenmerken van binaire bestanden valideert. Deze buildtaak biedt een opdrachtregelwrasser rond de binskim.exe consoletoepassing. BinSkim is een opensource-hulpprogramma. Zie BinSkim op GitHub voor meer informatie.

Referentiescanner

Wachtwoorden en andere geheimen die in de broncode zijn opgeslagen, vormen een groot probleem. Referentiescanner is een eigen hulpprogramma voor statische analyse waarmee u dit probleem kunt oplossen. Het hulpprogramma detecteert referenties, geheimen, certificaten en andere gevoelige inhoud in uw broncode en de build-uitvoer.

Roslyn Analyzers

Roslyn Analyzers is het compiler-geïntegreerde hulpprogramma van Microsoft voor het statisch analyseren van beheerde C# en Visual Basic-code. Zie Op Roslyn gebaseerde analyses voor meer informatie.

TSLint

TSLint is een uitbreidbaar hulpprogramma voor statische analyse dat TypeScript-code controleert op leesbaarheid, onderhoudbaarheid en functionaliteitsfouten. Het wordt algemeen ondersteund door moderne editors en buildsystemen. U kunt deze aanpassen met uw eigen lintregels, configuraties en opmaakters. TSLint is een opensource-hulpprogramma. Zie TSLint op GitHub voor meer informatie.

Analyse en naverwerking van resultaten

De Microsoft Security Code Analysis-extensie heeft ook drie taken na verwerking. Deze taken helpen u bij het analyseren van de resultaten die zijn gevonden door de taken van de beveiligingshulpprogramma's. Wanneer deze taken worden toegevoegd aan een pijplijn, volgen deze taken meestal alle andere hulpprogrammataken.

Logboeken voor beveiligingsanalyse publiceren

De buildtaak Logboeken voor beveiligingsanalyse publiceren behoudt de logboekbestanden van de beveiligingshulpprogramma's die tijdens de build worden uitgevoerd. U kunt deze logboeken lezen voor onderzoek en opvolging.

U kunt de logboekbestanden publiceren naar Azure Artifacts als een .zip-bestand. U kunt ze ook kopiëren naar een toegankelijke bestandsshare vanuit uw persoonlijke buildagent.

Beveiligingsrapport

De buildtaak van het beveiligingsrapport parseert de logboekbestanden. Deze bestanden worden gemaakt door de beveiligingshulpprogramma's die tijdens de build worden uitgevoerd. De build-taak maakt vervolgens één overzichtsrapportbestand. Dit bestand bevat alle problemen die door de analysehulpprogramma's zijn gevonden.

U kunt deze taak configureren om resultaten te rapporteren voor specifieke hulpprogramma's of voor alle hulpprogramma's. U kunt ook kiezen welk probleemniveau u wilt rapporteren, zoals alleen fouten of zowel fouten als waarschuwingen.

Na analyse (build-einde)

Met de build-taak na analyse kunt u een build-onderbreking invoegen die er opzettelijk voor zorgt dat een build mislukt. U injecteert een build-einde als een of meer analysehulpprogramma's problemen in de code melden.

U kunt deze taak zo configureren dat de build wordt verbroken voor problemen die zijn gevonden door specifieke hulpprogramma's of alle hulpprogramma's. U kunt deze ook configureren op basis van de ernst van de gevonden problemen, zoals fouten of waarschuwingen.

Notitie

Standaard slaagt elke build-taak als de taak is voltooid. Dit geldt ongeacht of een hulpprogramma problemen vindt, zodat de build kan worden uitgevoerd totdat alle hulpprogramma's kunnen worden uitgevoerd.

Volgende stappen

Raadpleeg onze Handleiding voor onboarding en installatie voor instructies over het onboarden en installeren van Microsoft Security Code Analysis.

Zie onze configuratiehandleiding of YAML-configuratiehandleiding voor meer informatie over het configureren van de buildtaken.

Als u nog vragen hebt over de extensie en de aangeboden hulpprogramma's, raadpleegt u onze pagina met veelgestelde vragen.