Compartilhar via

Integração e instalação

  • Artigo

Observação

Desde 31 de dezembro de 2022, a extensão MSCA (Microsoft Security Code Analysis) está desativada. O MSCA foi substituído pela extensão Microsoft Security DevOps do Azure DevOps. Siga as instruções descritas em Configurar para instalar e configurar a extensão.

Pré-requisitos para a introdução à Análise de Código de Segurança da Microsoft:

  • Uma oferta Suporte Unificado da Microsoft qualificada, conforme detalhado na seção a seguir.
  • Uma organização do Azure DevOps.
  • Permissão para instalar extensões para a organização de Azure DevOps.
  • Código-fonte que pode ser sincronizado com um pipeline Azure DevOps hospedado na nuvem.

Integração da extensão de Análise de Código de Segurança da Microsoft

Interessado em adquirir a extensão de Análise de Código de Segurança da Microsoft?

Se você tiver uma das seguintes ofertas de suporte, entre em contato com seu gerente técnico de conta para comprar ou trocar horas existentes para obter acesso à extensão:

  • Nível avançado de suporte unificado
  • Nível de desempenho de suporte unificado
  • Suporte Premier para desenvolvedores
  • Suporte Premier para parceiros
  • Suporte Premier para empresas

Se você não tiver um dos contratos de suporte mencionados acima, poderá comprar a extensão de um de nossos parceiros.

Próximas etapas:

Se você atender às qualificações acima, entre em contato com um parceiro na lista abaixo para comprar a extensão de Análise de Código de Segurança da Microsoft. Caso contrário, contate o Suporte à Análise de Código de Segurança da Microsoft.

Parceiros:

  • Zonas – detalhes de contato: cloudsupport@zones.com
  • Wortell – detalhes de contato: info@wortell.nl
  • Logicalis – detalhes de contato: logicalisleads@us.logicalis.com

Torne-se um parceiro

A equipe de Análise de Código de Segurança da Microsoft está buscando parceiros integrados com um Suporte Premier para o contrato de parceiros. Os parceiros ajudarão a capacitar os clientes do Azure DevOps a desenvolverem com mais segurança vendendo a extensão aos clientes que desejam comprá-lo, mas não têm um contrato de suporte empresarial com a Microsoft. Os parceiros interessados podem se registrar aqui.

Instalando a extensão de Análise de Código de Segurança da Microsoft

  1. Depois que a extensão for compartilhada com sua organização do Azure DevOps, vá para a página da organização do Azure DevOps. Uma URL de exemplo para essa página é https://dev.azure.com/contoso.
  2. Selecione o ícone de bolsa de compras no canto superior direito ao lado de seu nome e, em seguida, selecione Gerenciar extensões.
  3. Selecione Compartilhadas.
  4. Selecione a extensão Análise de Código de Segurança da Microsoft, selecione instalar.
  5. Na lista suspensa, escolha a organização o Azure DevOps na qual instalar a extensão.
  6. Selecione Instalar. Após a conclusão da instalação, você pode começar a usar a extensão.

Observação

Mesmo que você não tenha acesso para instalar a extensão, continue com as etapas de instalação. Você pode solicitar acesso do administrador da organização do Azure DevOps durante o processo de instalação.

Depois de instalar a extensão, as tarefas do build de desenvolvimento seguro ficam visíveis e disponíveis para serem adicionadas ao seu Azure Pipelines.

Adicionando tarefas de compilação específicas ao pipeline do Azure DevOps

  1. Em sua organização do Azure DevOps, abra seu projeto de equipe.
  2. Selecione Pipelines>Builds.
  3. Selecione o pipeline no qual você deseja adicionar as tarefas de build de extensão:
    • Novo pipeline: selecione Novo e siga as etapas detalhadas para criar um novo pipeline.
    • Editar pipeline: selecione um pipeline existente e, em seguida, selecione Editar para começar a editar o pipeline.
  4. Selecione + e vá para o painel Adicionar tarefas.
  5. Na lista ou usando a caixa de pesquisa, localize a tarefa de build que você deseja adicionar. Selecione Adicionar.
  6. Especifique os parâmetros necessários para a tarefa.
  7. Fila de uma nova compilação.

    Observação

    Os caminhos de arquivo e pasta são relativos à raiz do seu repositório de origem. Se você especificar os arquivos de saída e as pastas como parâmetros, elas serão substituídas pelo local comum que definimos no agente de build.

Dica

  • Para executar uma análise após o build, coloque as tarefas de build da Análise de Código de Segurança da Microsoft após a etapa publicar artefatos de build de seu build. Dessa forma, seu build pode terminar e postar os resultados antes de executar as ferramentas de análise estática.
  • Sempre selecione Continuar se houver erro para tarefas de build de desenvolvimento seguro. Mesmo que uma ferramenta falhe, as outras podem ser executadas. Não há interdependências entre as ferramentas.
  • As tarefas de build da Análise de Código de Segurança da Microsoft falharão somente se uma ferramenta não for executada com êxito. Mas elas têm sucesso mesmo se uma ferramenta identificar problemas no código. Usando a tarefa de build pós-análise, você pode configurar seu build para falhar quando uma ferramenta identificar problemas no código.
  • Algumas tarefas de build do Azure DevOps não têm suporte quando executadas por meio de um pipeline de liberação. Mais especificamente, o Azure DevOps não dá suporte a tarefas que publicam artefatos de dentro de um pipeline de lançamento.
  • Para obter uma lista de variáveis predefinidas no build da equipe do Azure DevOps que você pode especificar como parâmetros, consulte Variáveis de build do Azure DevOps.

Próximas etapas

Para obter mais informações sobre como configurar as tarefas de build, consulte nosso Guia de configuração ou o Guia de configuração do YAML.

Se você tiver mais perguntas sobre a extensão e as ferramentas oferecidas, Confira nossa Página de perguntas frequentes.