Om Microsoft Security Code Analysis
Anteckning
Från och med den 31 december 2022 dras tillägget Microsoft Security Code Analysis (MSCA) tillbaka. MSCA ersätts av Tillägget Microsoft Security DevOps Azure DevOps. Följ anvisningarna i Konfigurera för att installera och konfigurera tillägget.
Med tillägget Microsoft Security Code Analysis kan team lägga till analys av säkerhetskod i sina Azure DevOps-pipelines för kontinuerlig integrering och leverans (CI/CD). Den här analysen rekommenderas av SDL-experterna (Secure Development Lifecycle) på Microsoft.
Ett konsekvent UX förenklar säkerheten genom att dölja komplexiteten i att köra verktyg. Med NuGet-baserad leverans av verktygen behöver teamen inte längre hantera installationen eller uppdateringen av verktygen. Med både kommandoradsgränssnitt och grundläggande gränssnitt för bygguppgifter kan alla användare ha så mycket kontroll över verktygen som de vill.
Teams kan också använda kraftfulla efterbearbetningsfunktioner som:
- Publicera loggar för kvarhållning.
- Generera användbara, utvecklarfokuserade rapporter.
- Konfigurera byggbrytningar i regressionstester.
Varför ska jag använda Microsoft Security Code Analysis?
Säkerhet förenklad
Att lägga till Microsoft Security Code Analysis-verktyg i din Azure DevOps-pipeline är lika enkelt som att lägga till nya uppgifter. Anpassa aktiviteterna eller använd deras standardbeteende. Uppgifter körs som en del av din Azure DevOps-pipeline och skapar loggar som beskriver många typer av resultat.
Rensa versioner
När du har åtgärdat de första problemen som rapporterats av verktygen kan du konfigurera tillägget så att det bryter versioner av nya problem. Det är enkelt att konfigurera kontinuerlig integrering för varje pull-begäran.
Ställ in den och glöm den
Som standard är bygguppgifterna och verktygen uppdaterade. Om det finns en uppdaterad version av ett verktyg behöver du inte ladda ned och installera det. Tillägget tar hand om uppdateringen åt dig.
Under huven
Tilläggets bygguppgifter döljer komplexiteten i:
- Köra säkerhetsverktyg för statisk analys.
- Bearbeta resultatet från loggfilerna för att skapa en sammanfattningsrapport eller bryta bygget.
Microsoft Security Code Analysis tool set
Tillägget Microsoft Security Code Analysis gör de senaste versionerna av viktiga analysverktyg lättillgängliga för dig. Tillägget innehåller både Microsoft-hanterade verktyg och verktyg med öppen källkod.
Dessa verktyg laddas automatiskt ned till den molnbaserade agenten när du har använt motsvarande bygguppgift för att konfigurera och köra pipelinen.
I det här avsnittet visas en uppsättning verktyg som för närvarande är tillgängliga i tillägget. Se upp för att lägga till fler verktyg. Skicka också dina förslag på verktyg som du vill att vi ska lägga till.
Skanner mot skadlig kod
Uppgiften att skapa skannern mot skadlig kod ingår nu i tillägget Microsoft Security Code Analysis. Den här uppgiften måste köras på en byggagent som redan har Windows Defender installerad. Mer information finns på Windows Defender webbplats.
BinSkim
BinSkim är en enkel PE-skanner (Portable Executable) som validerar kompileringsinställningar, länkningsinställningar och andra säkerhetsreleventa egenskaper för binära filer. Den här bygguppgiften innehåller en kommandoradsomslutning runt binskim.exe konsolprogram. BinSkim är ett verktyg med öppen källkod. Mer information finns i BinSkim på GitHub.
Skanner för autentiseringsuppgifter
Lösenord och andra hemligheter som lagras i källkoden är ett stort problem. Credential Scanner är ett patentskyddat verktyg för statisk analys som hjälper dig att lösa det här problemet. Verktyget identifierar autentiseringsuppgifter, hemligheter, certifikat och annat känsligt innehåll i källkoden och kompileringsutdata.
Roslyn-analysverktyg
Roslyn Analyzeers är Microsofts kompilatorintegrerade verktyg för statisk analys av hanterad C# och Visual Basic-kod. Mer information finns i Roslyn-baserade analysverktyg.
TSLint
TSLint är ett utökningsbart statiskt analysverktyg som kontrollerar TypeScript-kod för läsbarhet, underhållbarhet och funktionsfel. Det stöds ofta av moderna redigerare och byggsystem. Du kan anpassa den med dina egna lintregler, konfigurationer och formaterare. TSLint är ett verktyg med öppen källkod. Mer information finns i TSLint på GitHub.
Analys och efterbearbetning av resultat
Tillägget Microsoft Security Code Analysis har också tre uppgifter efter bearbetningen. De här uppgifterna hjälper dig att analysera resultaten som hittas av uppgifterna i säkerhetsverktyget. När de läggs till i en pipeline följer dessa uppgifter vanligtvis alla andra verktygsuppgifter.
Publicera säkerhetsanalysloggar
Build-uppgiften Publicera säkerhetsanalysloggar bevarar loggfilerna för de säkerhetsverktyg som körs under bygget. Du kan läsa loggarna för undersökning och uppföljning.
Du kan publicera loggfilerna till Azure Artifacts som en .zip fil. Du kan också kopiera dem till en tillgänglig filresurs från din privata byggagent.
Säkerhetsrapport
Bygguppgiften Säkerhetsrapport parsar loggfilerna. Dessa filer skapas av de säkerhetsverktyg som körs under bygget. Bygguppgiften skapar sedan en enda sammanfattningsrapportfil. Den här filen visar alla problem som hittats av analysverktygen.
Du kan konfigurera den här uppgiften för att rapportera resultat för specifika verktyg eller för alla verktyg. Du kan också välja vilken problemnivå som ska rapporteras, till exempel endast fel eller både fel och varningar.
Efter analys (byggpaus)
Med bygguppgiften Efter analys kan du mata in en byggpaus som avsiktligt gör att en version misslyckas. Du matar in en byggpaus om ett eller flera analysverktyg rapporterar problem i koden.
Du kan konfigurera den här uppgiften för att avbryta bygget för problem som hittas av specifika verktyg eller alla verktyg. Du kan också konfigurera den baserat på allvarlighetsgraden för problem som hittas, till exempel fel eller varningar.
Anteckning
Varje bygguppgift lyckas avsiktligt om uppgiften har slutförts. Detta gäller oavsett om ett verktyg hittar problem eller inte, så att bygget kan köras till slutförande genom att tillåta att alla verktyg körs.
Nästa steg
Anvisningar om hur du registrerar och installerar Microsoft Security Code Analysis finns i vår registrerings- och installationsguide.
Mer information om hur du konfigurerar bygguppgifterna finns i vår konfigurationsguide eller YAML-konfigurationsguide.
Om du har ytterligare frågor om tillägget och de verktyg som erbjuds kan du läsa vår sida med vanliga frågor och svar.