Informatie over Microsoft Security Code Analysis
Notitie
Vanaf 31 december 2022 wordt de extensie Microsoft Security Code Analysis (MSCA) buiten gebruik gesteld. MSCA wordt vervangen door de Microsoft Security DevOps Azure DevOps-extensie. Volg de instructies in Configure om de extensie te installeren en te configureren.
Met de Microsoft Security Code Analysis-extensie kunnen teams beveiligingscodeanalyse toevoegen aan hun Ci/CD-pijplijnen (Continue integratie en levering) van Azure DevOps. Deze analyse wordt aanbevolen door de SDL (Secure Development Lifecycle) experts van Microsoft.
Een consistente UX vereenvoudigt de beveiliging door de complexiteit van actieve hulpprogramma's te verbergen. Met nuGet-gebaseerde levering van de hulpprogramma's hoeven teams de installatie of update van hulpprogramma's niet meer te beheren. Met zowel opdrachtregelinterfaces als basisinterfaces voor buildtaken kunnen alle gebruikers zoveel controle hebben over de hulpprogramma's als ze willen.
Teams kunnen ook krachtige mogelijkheden voor nabewerking gebruiken, zoals:
- Logboeken publiceren voor retentie.
- Genereren van bruikbare rapporten die gericht zijn op ontwikkelaars.
- Het configureren van buildonderbrekingen tijdens regressietests.
Waarom moet ik Microsoft Security Code Analysis gebruiken?
Beveiliging vereenvoudigd
Het toevoegen van Microsoft Security Code Analysis-hulpprogramma's aan uw Azure DevOps-pijplijn is net zo eenvoudig als het toevoegen van nieuwe taken. Pas de taken aan of gebruik hun standaardgedrag. Taken worden uitgevoerd als onderdeel van uw Azure DevOps-pijplijn en produceren logboeken die allerlei soorten resultaten beschrijven.
Schone compilaties
Nadat u de eerste problemen hebt opgelost die door de hulpprogramma's zijn gerapporteerd, kunt u de extensie zo configureren dat de builds worden verbroken op nieuwe problemen. Het instellen van builds voor continue integratie bij elke pull request is eenvoudig.
Stel deze in en vergeet het
Standaard blijven de buildtaken en hulpprogramma's up-to-datum. Als er een bijgewerkte versie van een hulpprogramma is, hoeft u deze niet te downloaden en te installeren. De extensie zorgt voor het bijwerken voor u.
Onder de motorkap
De buildtaken van de extensie verbergen de complexiteit van:
- Statische-analysehulpmiddelen voor beveiliging uitvoeren.
- De resultaten van logboekbestanden verwerken om een overzichtsrapport te maken of de build te verbreken.
Hulpprogrammaset Voor analyse van Microsoft-beveiligingscode
De microsoft Security Code Analysis-extensie maakt de nieuwste versies van belangrijke analysehulpprogramma's beschikbaar voor u. De extensie bevat zowel door Microsoft beheerde hulpprogramma's als opensource-hulpprogramma's.
Deze hulpprogramma's worden automatisch gedownload naar de in de cloud gehoste agent nadat u de bijbehorende buildtaak hebt gebruikt om de pijplijn te configureren en uit te voeren.
In deze sectie vindt u de set hulpprogramma's die momenteel beschikbaar zijn in de extensie. Houd de toevoeging van meer hulpmiddelen in de gaten. Stuur ons ook uw suggesties voor hulpprogramma's die u wilt toevoegen.
Antimalwarescanner
De buildupdracht voor de antimalwarescanner is nu opgenomen in de Microsoft Security Code Analysis-extensie. Deze taak moet worden uitgevoerd op een buildagent waarop Windows Defender al is geïnstalleerd. Zie de Windows Defender-websitevoor meer informatie.
BinSkim
BinSkim is een lichtgewicht PE-scanner (Portable Executable) waarmee compilerinstellingen, linkerinstellingen en andere beveiligingsgerelateerde kenmerken van binaire bestanden worden gevalideerd. Deze build-taak biedt een opdrachtregelhulpprogramma rond de binskim.exe consoletoepassing. BinSkim is een opensource-hulpprogramma. Zie BinSkim op GitHubvoor meer informatie.
Inloggegevensscanner
Wachtwoorden en andere geheimen die zijn opgeslagen in broncode, zijn een belangrijk probleem. Referentiescanner is een eigen hulpprogramma voor statische analyse waarmee dit probleem kan worden opgelost. Het hulpprogramma detecteert referenties, geheimen, certificaten en andere gevoelige inhoud in uw broncode en uw build-uitvoer.
Roslyn Analyzers
Roslyn Analyzers is het met de compiler geïntegreerde hulpprogramma van Microsoft voor het statisch analyseren van beheerde C# en Visual Basic-code. Zie op Roslyn gebaseerde analysesvoor meer informatie.
TSLint
TSLint is een uitbreidbaar hulpprogramma voor statische analyse waarmee TypeScript-code wordt gecontroleerd op leesbaarheid, onderhoudbaarheid en fouten in de functionaliteit. Het wordt veel ondersteund door moderne editors en buildsystemen. U kunt deze aanpassen met uw eigen lintregels, configuraties en formatters. TSLint is een opensource-hulpprogramma. Zie TSLint op GitHubvoor meer informatie.
Analyse en naverwerking van resultaten
De Microsoft Security Code Analysis-extensie heeft ook drie postverwerkingstaken. Met deze taken kunt u de resultaten analyseren die zijn gevonden door de beveiligingshulpprogrammataken. Wanneer deze taken aan een pijplijn worden toegevoegd, volgen ze meestal alle andere gereedschaptaken.
Beveiligingsanalyselogboeken publiceren
De buildtaak Beveiligingsanalyselogboeken publiceren behoudt de logboekbestanden van de beveiligingshulpprogramma's die tijdens de build worden uitgevoerd. U kunt deze logboeken lezen voor onderzoek en opvolging.
U kunt de logboekbestanden als een .zip-bestand publiceren naar Azure Artifacts. U kunt ze ook kopiëren naar een toegankelijke bestandsshare vanuit uw privé-buildagent.
Beveiligingsrapport
De bouwtaak van het beveiligingsrapport analyseert de logboekbestanden. Deze bestanden worden gemaakt door de beveiligingshulpprogramma's die tijdens de build worden uitgevoerd. De build-taak maakt vervolgens één overzichtsrapportbestand. Dit bestand toont alle problemen die zijn gevonden door de analysehulpprogramma's.
U kunt deze taak configureren voor het rapporteren van resultaten voor specifieke hulpprogramma's of voor alle hulpprogramma's. U kunt ook kiezen welk probleemniveau moet worden gerapporteerd, zoals alleen fouten of zowel fouten als waarschuwingen.
Na analyse (build-einde)
Met de build-taak na analyse kunt u een build-einde injecteren dat ervoor zorgt dat een build mislukt. U injecteert een build-onderbreking als een of meer analysehulpprogramma's problemen in de code melden.
U kunt deze taak zo configureren dat de build wordt verbroken voor problemen die zijn gevonden door specifieke hulpprogramma's of alle hulpprogramma's. U kunt deze ook configureren op basis van de ernst van gevonden problemen, zoals fouten of waarschuwingen.
Notitie
Elke build-taak slaagt standaard als de taak is voltooid. Dit is waar, ongeacht of een hulpprogramma problemen vindt, zodat de build kan worden uitgevoerd tot voltooiing door alle hulpprogramma's toe te staan.
Volgende stappen
Raadpleeg onze handleiding voor onboarding en installatie van Microsoft Security Code Analysis voor instructies over het onboarden en installeren van Microsoft Security Code Analysis .
Zie de Configuratiehandleiding of YAML-configuratiehandleidingvoor meer informatie over het configureren van de buildtaken.
Als u meer vragen hebt over de extensie en de aangeboden hulpprogramma's, raadpleegt u onze pagina met veelgestelde vragen.