Wyświetlanie wyników skanowania kodu dostawców innych firm w usłudze Azure DevOps

W miarę kontynuowania integracji z usługą GitHub Advanced Security z przyjemnością ogłaszamy, że teraz możesz skorzystać z zadania publikowania (AdvancedSecurity-Publish@1), aby zaimportować wyniki zabezpieczeń od dostawców innych firm do centrum alertów skanowania kodu zabezpieczeń zaawansowanych.

Zapoznaj się z informacjami o wersji, aby uzyskać szczegółowe informacje.

Ogólne

• Ulepszanie wyników wyszukiwania za pomocą prefiksów symboli wieloznacznych i podciągów

Usługa GitHub Advanced Security dla usługi Azure DevOps

• Przegląd zabezpieczeń — linki do alertów dotyczących repozytorium
• Zadanie publikowania na potrzeby integracji z dostawcami innych firm

Azure Pipelines

• macOS-14 Sonoma preview i macOS-11 retirement
• Węzeł 10 usunięty z pakietów agentów pipelines-*

Ogólne

Ulepszanie wyników wyszukiwania za pomocą prefiksów symboli wieloznacznych i podciągów

Z przyjemnością ogłaszamy nową funkcję wyszukiwania, która obsługuje teraz symbol wieloznaczny jako prefiks i podciąg wyszukiwania w kodzie, elementach roboczych, witrynie typu wiki i pakietach. Dodając symbol wieloznaczny na początku i na końcu terminu wyszukiwania, możesz znaleźć wszystkie odpowiednie ciągi zawierające termin. Na przykład wprowadzenie ciągu "Test" w polu wyszukiwania daje wyniki, takie jak "mytestclass", "improvecodewithtest" i "test_wikiarticle". Ta funkcja jest wdrażana w ciągu najbliższych kilku tygodni.

Usługa GitHub Advanced Security dla usługi Azure DevOps

Przegląd zabezpieczeń — linki do alertów dotyczących repozytorium

Strona o podwyższonym ryzyku zabezpieczeń zawiera teraz linki bezpośrednio do poszczególnych alertów usługi Advanced Security poszczególnych repozytoriów. Podobnie jak na stronie pokrycia, w przypadku określonego repozytorium umieść kursor nad wierszem i kliknij ikonę po prawej stronie wiersza, aby przejść bezpośrednio do strony alertów.

Zadanie publikowania na potrzeby integracji z dostawcami innych firm

Zadanie AdvancedSecurity-Publish@1 umożliwia łatwe pobieranie wyników od dostawców innych firm, zwiększenie integracji z zaawansowanymi zabezpieczeniami usługi GitHub dla usługi AzureDevOps. Dostawcy ci mogą obejmować zarówno zadania potoku analizy zabezpieczeń typu open source, jak i komercyjnej analizy zabezpieczeń, które generują wyniki w zgodnym formacie SARIF. Dzięki temu można teraz wyświetlić wyniki w centrum alertów zaawansowanego skanowania kodu zabezpieczeń, zapewniając ujednolicony widok alertów zabezpieczeń kodu z aktualnie obsługiwanych narzędzi analitycznych bezpośrednio w usłudze Azure DevOps. Ta integracja obsługuje program SARIF 2.1, oferując kompleksowy przegląd ich stanu zabezpieczeń.

Aby uzyskać szczegółowe instrukcje dotyczące konfigurowania skanowania kodu w usłudze GitHub Advanced Security za pomocą usługi Azure DevOps, zobacz Konfigurowanie skanowania kodu.

Azure Pipelines

macOS-14 Sonoma preview i macOS-11 retirement

Obraz macOS-14 jest teraz dostępny w wersji zapoznawczej dla agentów hostowanych w usłudze Azure Pipelines. Aby użyć tego obrazu, zaktualizuj plik YAML w celu uwzględnienia elementu vmImage:'macos-14':

- job: macOS14
  pool:
    vmImage: 'macOS-14'
  steps:
  - bash: |
      echo Hello from macOS Sonoma Preview
      sw_vers

W przypadku zainstalowanego oprogramowania z systemem macOS-14 zobacz Konfiguracja obrazu.

Obraz macOS-12 będzie nadal używany podczas określania macOS-latestelementu . Gdy macOS-14 będzie ogólnie dostępna, macOS-latest nastąpi migracja bezpośrednio do macOS-14programu . Etykieta macOS-latest spowoduje pominięcie systemu macOS-13.

Obraz macOS-11 jest przestarzały i zostanie wycofany w czerwcu 2024 r.

Węzeł 10 usunięty z pakietów agentów pipelines-*

Nasi agenci obsługują zadania zaimplementowane w programie PowerShell lub w węźle. Agent jest dostarczany z wieloma wersjami środowiska Node, które obsługują różne wymagania dotyczące zadań.

W miarę wydawania nowych wersji środowiska Node zadania są aktualizowane w celu korzystania z nowszych wersji środowiska Node. Wymagane środowiska uruchomieniowe są dołączane do agenta.

Jednak gdy starsze węzły zakończą okno obsługi, niektóre zadania potoków mogą nadal zależeć od nich. Usługa Azure DevOps aktualizuje obsługiwane zadania do wersji środowiska Node, która jest nadal obsługiwana, chociaż zadania innych firm mogą wymagać uruchamiania starszych wersji.

Aby zarządzać tym, mamy dwa pakiety agentów potoku:

Pakiety	Wersje węzłów	opis
vsts-agent-*	6, 10, 16, 20	Obejmuje wszystkie wersje węzłów, które mogą być używane jako program obsługi wykonywania zadań
pipelines-agents-*	16, 20	Obejmuje tylko najnowsze wersje środowiska Node. Celem tych pakietów jest nie uwzględnianie żadnej wersji end-of-life środowiska Node.

Jeśli chcesz uruchomić zadanie wymagające obsługi wykonywania węzła 10 na agencie, który nie ma dołączonego węzła 10, możesz zainstalować program obsługi wykonywania, wstawiając zadanie NodeTaskRunnerInstaller@0 w potoku:

  steps:
  - task: NodeTaskRunnerInstaller@0
    inputs:
      runnerVersion: 10

Następne kroki

Uwaga

Te funkcje będą wdrażane w ciągu najbliższych dwóch do trzech tygodni.

Przejdź do usługi Azure DevOps i przyjrzyj się.

Przejdź do usługi Azure DevOps

Jak przekazać opinię

Chcielibyśmy usłyszeć, co myślisz o tych funkcjach. Użyj menu Pomocy, aby zgłosić problem lub podać sugestię.

Możesz również uzyskać porady i odpowiedzi na pytania społeczności w witrynie Stack Overflow.

Dzięki,

Silviu Andrica