Dela via

Integrera genomsökningsverktyg från tredje part

  • Artikel

GitHub Advanced Security för Azure DevOps skapar kodgenomsökningsaviseringar på en lagringsplats med hjälp av information från SARIF-filer (Static Analysis Results Interchange Format). SARIF-filegenskaperna används för att fylla i aviseringsinformation, till exempel aviseringsrubrik, plats och beskrivningstext.

Du kan generera SARIF-filer med hjälp av många säkerhetstestverktyg för statisk analys, inklusive CodeQL. Resultatet måste använda SARIF version 2.1.0. Mer information om SARIF finns i SASRIF-självstudier.

Ladda upp en kodgenomsökningsanalys med Azure Pipelines

Om du vill använda Azure Pipelines för att ladda upp en SARIF-fil från tredje part till en lagringsplats måste din pipeline använda AdvancedSecurity-Publish uppgiften, som är en del av de uppgifter som paketeras med GitHub Advanced Security för Azure DevOps. De viktigaste indataparametrarna som ska användas är:

  • SarifsInputDirectory: konfigurerar katalogen med SARIF-filer som ska laddas upp. Den förväntade katalogsökvägen är absolut.
  • Category: du kan också tilldela en kategori för resultat i SARIF-filen. På så sätt kan du analysera samma incheckning på flera sätt och granska resultaten med hjälp av kodgenomsökningsvyerna i GitHub. Du kan till exempel analysera med flera verktyg, och i mono-lagringsplatser kan du analysera olika sektorer av lagringsplatsen baserat på delmängden av ändrade filer.

Här är ett exempel på en integrering med Microsoft Security DevOps-uppgiften som ägs av Microsoft Defender för molnet-teamet:

trigger:
- main

pool:
  vmImage: ubuntu-latest

steps:
- task: MicrosoftSecurityDevOps@1
  inputs:
    command: 'run'
    categories: 'IaC'
- task: AdvancedSecurity-Publish@1
  inputs:
    SarifsInputDirectory: '$(Build.ArtifactStagingDirectory)/.gdn/'

Generering av resultat med fingeravtryck

Om din SARIF-fil inte innehåller partialFingerprintsAdvancedSecurity-Publish beräknar partialFingerprints aktiviteten fältet åt dig och försöker förhindra dubbletter av aviseringar. Advanced Security kan bara skapa partialFingerprints när lagringsplatsen innehåller både SARIF-filen och källkoden som används i den statiska analysen. Mer information om hur du förhindrar duplicerade aviseringar finns i Tillhandahålla data för att spåra kodgenomsökningsaviseringar mellan körningar.

Verifiera verktygsresultat

Du kan kontrollera att SARIF-egenskaperna har den storlek som stöds för uppladdning och att filen är kompatibel med kodgenomsökning. Mer information finns i Verifiera din SARIF-fil. Information om hur du kontrollerar om en SARIF-fil överensstämmer specifikt med Advanced Securitys krav finns i SARIF-valideraren och väljer Azure DevOps ingestion rules.