Udostępnij za pośrednictwem

Ulepszone skanowanie zabezpieczeń zaawansowanych w usłudze GitHub

  • Artykuł

Z przyjemnością wprowadzamy nowe aktualizacje w usłudze GitHub Advanced Security dla usługi Azure DevOps z kompilacjami bez zatwierdzania na potrzeby rozszerzonego skanowania zależności i ulepszonych wersji zapoznawczych plików z adnotacjami do skanowania CodeQL.

Zapoznaj się z informacjami o wersji, aby uzyskać szczegółowe informacje.

Usługa GitHub Advanced Security dla usługi Azure DevOps

Azure Boards:

Azure Repos

Azure Pipelines

Test Plans

Usługa GitHub Advanced Security dla usługi Azure DevOps

Kompilacje bez zatwierdzania obsługiwane na potrzeby skanowania zależności

Skanowanie zależności nie wymaga już nowego zatwierdzenia w celu wyzwolenia przesyłania wyników. Dzięki tej aktualizacji wszystkie kompilacje będą przesyłać wykryte składniki do analizy luk w zabezpieczeniach, niezależnie od tego, czy zawierają zmiany zatwierdzenia. To ulepszenie usprawnia przepływy pracy zabezpieczeń i rozszerza pokrycie skanowania.

Podglądy plików i adnotacje dotyczące skanowania CodeQL przy użyciu źródłaFolder

Teraz, gdy używasz zmiennej sourcesFolder w kompilacjach CodeQL, podglądy plików i adnotacje są wyświetlane dokładnie w alertach i żądaniach ściągnięcia, co zapewnia spójny, niezawodny wgląd w wyniki skanowania.

Azure Boards

Nowy limit interfejsu API REST dla komentarzy elementów roboczych

Aby zwiększyć bezpieczeństwo, został ustawiony nowy limit liczby komentarzy, które można dodać do elementów roboczych za pośrednictwem interfejsu API REST. Każdy element roboczy obsługuje teraz maksymalnie 1000 komentarzy za pośrednictwem interfejsu API. To ograniczenie dotyczy wyłącznie interfejsu API REST, a użytkownicy mogą nadal ręcznie dodawać komentarze za pośrednictwem interfejsu internetowego, nawet poza progiem 1000 komentarzy.

Azure Repos

Wyszukiwanie żądań ściągnięcia według tytułu na stronie listy żądań ściągnięcia

Strona listy żądań ściągnięcia zawiera teraz filtr według tytułu żądania ściągnięcia, co ułatwia znajdowanie określonych żądań ściągnięcia.

Zrzut ekranu przedstawiający filtrowanie według tytułu żądania ściągnięcia.

Azure Pipelines

System macOS-15 Sequoia jest dostępny w wersji zapoznawczej

Obraz macOS-15 jest teraz dostępny w wersji zapoznawczej dla agentów hostowanych w usłudze Azure Pipelines. Aby użyć tego obrazu, zaktualizuj plik YAML w celu uwzględnienia elementu vmImage: 'macOS-15':

- job: macOS15
  pool:
    vmImage: 'macOS-15'
  steps:
  - bash: |
      echo Hello from macOS Sequoia Preview
      sw_vers

W przypadku zainstalowanego oprogramowania z systemem macOS-15 zobacz Konfiguracja obrazu.

Obraz macOS-14 będzie nadal używany podczas określania macOS-latestelementu . Gdy macOS-15 usługa jest ogólnie dostępna, macOS-latest migruje bezpośrednio do programu macOS-15.

Ulepszenia przypisywania rejestracji aplikacji połączenia z usługą

Gdy połączenie z usługą jest przeznaczone dla platformy Azure, automatycznie tworzy rejestrację aplikacji. Aby znaleźć tożsamość skojarzona z połączeniem usługi, możesz użyć linku "Zarządzanie rejestracją aplikacji" na stronie szczegółów połączenia usługi. Otrzymaliśmy opinię, że podczas przeglądania Rejestracje aplikacji bezpośrednio w identyfikatorze Entra firmy Microsoft nie zawsze jest jasne, do czego służy rejestracja aplikacji.

Aby ulepszyć środowisko przypisywania autorstwa, wprowadziliśmy następujące zmiany:

Informacje o rejestracji aplikacji i dokumentacja zarządzania usługami

Nowo utworzone połączenia usługi platformy Azure mogą teraz zawierać odwołanie do zarządzania usługami oprócz opisu:

Zrzut ekranu przedstawiający stronę tworzenia połączenia z usługą.

Te informacje służą do wypełniania metadanych rejestracji aplikacji, które można znaleźć w bloku Znakowanie i właściwości:

Zrzut ekranu przedstawiający właściwości rejestracji aplikacji.

Jeśli opis nie został podany podczas tworzenia połączenia z usługą, do rejestracji aplikacji zostanie dodana domyślna uwaga.

Nowa konwencja nazewnictwa Rejestracje aplikacji w połączeniach usługi platformy Azure

Wcześniej połączenia usług zostały nazwane przy użyciu formatu <azure devops org>-<azure devops project>-<azure subscription id>, co utrudnia rozróżnienie między Rejestracje aplikacji połączonymi z tą samą subskrypcją platformy Azure. Aby zwiększyć przejrzystość, nazwy rejestracji aplikacji będą teraz zawierać identyfikator połączenia z usługą w następującym formacie: <azure devops org>-<azure devops project>-<service connection id>.

Identyfikator połączenia z usługą można znaleźć na stronie szczegółów połączenia z usługą:

Zrzut ekranu przedstawiający stronę szczegółów połączenia z usługą.

Możesz również skorzystać z linku "Zarządzanie rejestracją aplikacji" lub "Zarządzaj tożsamością ", jeśli jest używana tożsamość zarządzana.

Test Plans

Moduł uruchamiający testy platformy Azure w wersji 1.2.2

Plany testów platformy Azure wydały poprawkę w wersji 1.2.2 dla ostatniego problemu w planach testów, w których moduł uruchamiający testy platformy Azure (ATR) napotkał błędy uruchamiania w przeglądarce Chrome w wersji 130. Ten problem powstał z powodu dodatkowej obsługi adresów URL schematu innego niż specjalny, co miało wpływ na przepływ użytkownika ATR. Dzięki tej aktualizacji usterka regresji zostanie usunięta, a funkcja usługi ATR zostanie przywrócona. Aby uzyskać więcej informacji na temat tej usterki regresji, odwiedź ten monitor problemów w chromium.

Zachęcamy do korzystania z aplikacji internetowej na potrzeby rozszerzonych funkcji. Jeśli znajdziesz brakujące funkcje w aplikacji internetowej, chcielibyśmy usłyszeć od Ciebie. Podziel się swoją opinią z nami!

Nowe możliwości sortowania w katalogu Plany testów

Katalog Plany testów oferuje teraz rozszerzone opcje sortowania. Dzięki tej aktualizacji można szybko zorganizować każdą kolumnę alfanumerycznie, zapewniając usprawniony sposób znajdowania danych i uzyskiwania do nich dostępu.

Plik GIF do demonstracyjnego sortowania w katalogu planów testów.

Automatyczne wstrzymywanie dla wersji zapoznawczej uruchamiania przypadku testowego

Testerzy ręczni często napotykają problemy z utratą postępu w przypadku przypadków testowych, jeśli niekompletny przebieg nie jest oznaczony jako "Wstrzymano" przed wybraniem opcji "Zapisz i zamknij". Może to spowodować utratę pracy w złożonych lub długich przypadkach, co wymaga od testerów rozpoczęcia pracy. Aby rozwiązać ten problem, wprowadzamy automatyczne wstrzymywanie dla przebiegu przypadku testowego. Ta funkcja automatycznie wstrzymuje przypadek testowy, jeśli wystąpi przerwa lub przerwa, upewniając się, że wszystkie dane są zapisywane bez konieczności ręcznego wstrzymania. Dzięki funkcji automatycznego wstrzymywania testerzy mogą łatwo wznawiać działanie w miejscu, w którym odeszli, upraszczając proces testowania i co czyni je bardziej wydajnymi. Wersja zapoznawcza będzie dostępna w najbliższych tygodniach — wyślij nam wiadomość e-mail, jeśli chcesz dołączyć!

Nowa wersja wersji dla rozszerzeń testów i opinii (TFE)

Zachwycono nas, aby ogłosić wydanie tfE w wersji 1.0.247.0, teraz dostępne zarówno w przeglądarce Chrome, jak i w przeglądarce Edge. Zainstaluj najnowszą wersję , aby uzyskać ulepszone funkcje, z poprawką trybu uczestnika projektu, rozwiązywania i rozwiązywania poprzednich zakłóceń. Korzystaj z bardziej bezproblemowego, bardziej niezawodnego środowiska dzięki tej najnowszej wersji!

Następne kroki

Uwaga

Te funkcje będą wdrażane w ciągu najbliższych dwóch do trzech tygodni.

Przejdź do usługi Azure DevOps i przyjrzyj się.

Przejdź do usługi Azure DevOps

Jak przekazać opinię

Chcielibyśmy usłyszeć, co myślisz o tych funkcjach. Użyj menu Pomocy, aby zgłosić problem lub podać sugestię.

Utwórz sugestię

Możesz również uzyskać porady i odpowiedzi na pytania społeczności w witrynie Stack Overflow.

Dzięki,

Dan Hellem