Integração e instalação
Nota
A partir de 31 de dezembro de 2022, a extensão Microsoft Security Code Analysis (MSCA) foi descontinuada. O MSCA é substituído pela extensão microsoft Security DevOps do Azure DevOps. Siga as instruções em Configurar para instalar e configurar a extensão.
Pré-requisitos para começar a utilizar a Análise de Código de Segurança da Microsoft:
- Uma oferta de Suporte Unificado da Microsoft elegível, conforme detalhado na secção seguinte.
- Uma organização do Azure DevOps.
- Permissão para instalar extensões na organização do Azure DevOps.
- Código fonte que pode ser sincronizado com um pipeline do Azure DevOps alojado na cloud.
Integração da extensão de Análise de Código de Segurança da Microsoft
Está interessado em comprar a extensão de Análise de Código de Segurança da Microsoft?
Se tiver uma das seguintes ofertas de suporte, contacte o Gestor Técnico de Conta para comprar ou trocar horas existentes para obter acesso à extensão:
- Escalão Avançado de Suporte Unificado
- Escalão de Desempenho de Suporte Unificado
- Suporte Premier para Programadores
- Suporte Premier para Parceiros
- Suporte Premier para Enterprise
Se não tiver um dos contratos de suporte mencionados acima, pode comprar a extensão a um dos nossos Parceiros.
Passos Seguintes:
Se cumprir as qualificações acima, contacte um parceiro na lista abaixo para comprar a extensão Análise de Código de Segurança da Microsoft. Caso contrário, contacte o Suporte de Análise de Código de Segurança da Microsoft.
Parceiros:
- Zonas – Detalhes do Contacto: cloudsupport@zones.com
- Wortell – Detalhes de Contacto: info@wortell.nl
- Logicalis – Detalhes de Contacto: logicalisleads@us.logicalis.com
Tornar-se um Parceiro
A equipa de Análise de Código de Segurança da Microsoft quer integrar parceiros com um contrato de Suporte Premier para Parceiros. Os parceiros ajudarão a capacitar os clientes do Azure DevOps a desenvolverem-se de forma mais segura ao venderem a extensão a clientes que pretendam comprá-la, mas não têm um contrato de Suporte Enterprise com a Microsoft. Os parceiros interessados podem registar-se aqui.
Instalar a extensão de Análise de Código de Segurança da Microsoft
- Depois de a extensão ser partilhada com a sua organização do Azure DevOps, aceda à página da sua organização do Azure DevOps. Um URL de exemplo para tal página é
https://dev.azure.com/contoso
. - Selecione o ícone do saco de compras no canto superior direito junto ao seu nome e, em seguida, selecione Gerir extensões.
- Selecione Partilhado.
- Selecione a extensão Análise de Código de Segurança da Microsoft e selecione instalar.
- Na lista pendente, selecione a organização do Azure DevOps na qual pretende instalar a extensão.
- Selecione Instalar. Após a conclusão da instalação, pode começar a utilizar a extensão.
Nota
Mesmo que não tenha acesso para instalar a extensão, continue com os passos de instalação. Pode pedir acesso ao administrador da sua organização do Azure DevOps durante o processo de instalação.
Depois de instalar a extensão, as tarefas de compilação de desenvolvimento seguro ficam visíveis e disponíveis para adicionar aos pipelines do Azure.
Adicionar tarefas de compilação específicas ao pipeline do Azure DevOps
- A partir da sua organização do Azure DevOps, abra o projeto de equipa.
- Selecione Compilações> dePipelines.
- Selecione o pipeline no qual pretende adicionar as tarefas de compilação da extensão:
- Novo pipeline: selecione Novo e siga os passos detalhados para criar um novo pipeline.
- Editar pipeline: selecione um pipeline existente e, em seguida, selecione Editar para começar a editar o pipeline.
- Selecione + e aceda ao painel Adicionar Tarefas .
- Na lista ou na caixa de pesquisa, localize a tarefa de compilação que pretende adicionar. Selecione Adicionar.
- Especifique os parâmetros necessários para a tarefa.
- Colocar uma nova compilação em fila.
Nota
Os caminhos de ficheiros e pastas são relativos à raiz do repositório de origem. Se especificar os ficheiros e pastas de saída como parâmetros, estes serão substituídos pela localização comum que definimos no agente de compilação.
Dica
- Para executar uma análise após a compilação, coloque as tarefas de compilação da Análise de Código de Segurança da Microsoft após o passo Publicar Artefactos de Compilação da compilação. Dessa forma, a compilação pode ser concluída e publicar resultados antes de executar ferramentas de análise estática.
- Selecione Sempre Continuar com o Erro para tarefas de compilação de desenvolvimento seguro. Mesmo que uma ferramenta falhe, as outras podem ser executadas. Não existem interdependências entre as ferramentas.
- As tarefas de compilação da Análise de Código de Segurança da Microsoft só falham se uma ferramenta não for executada com êxito. No entanto, têm êxito mesmo que uma ferramenta identifique problemas no código. Ao utilizar a tarefa de compilação Pós-Análise, pode configurar a compilação para falhar quando uma ferramenta identifica problemas no código.
- Algumas tarefas de compilação do Azure DevOps não são suportadas quando são executadas através de um pipeline de versão. Mais especificamente, o Azure DevOps não suporta tarefas que publicam artefactos a partir de um pipeline de versão.
- Para obter uma lista de variáveis predefinidas no Azure DevOps Team Build que pode especificar como parâmetros, veja Variáveis de Compilação do Azure DevOps.
Passos seguintes
Para obter mais informações sobre como configurar as tarefas de compilação, veja o nosso Guia de configuração ou guia de Configuração YAML.
Se tiver mais perguntas sobre a extensão e as ferramentas oferecidas, consulte a nossa página de FAQ.