入门和安装
注释
自 2022 年 12 月 31 日起,Microsoft安全代码分析(MSCA)扩展已停用。 MSCA 已被 Microsoft 安全 DevOps Azure DevOps 扩展 替代。 按照 配置 中的说明安装和配置扩展。
Microsoft安全代码分析入门的先决条件:
- 符合条件的Microsoft统一支持产品/服务,详见以下部分。
- Azure DevOps 组织。
- 向 Azure DevOps 组织安装扩展的权限。
- 可同步到云托管的 Azure DevOps 管道的源代码。
载入Microsoft安全代码分析扩展
有兴趣购买Microsoft安全代码分析扩展?
如果您拥有以下支持服务之一,请联系您的技术账户经理,购买或兑换现有小时以获得扩展访问权限。
- 统一支持高级等级
- 统一支持性能级别
- 面向开发人员的顶级支持
- 合作伙伴优先支持
- 企业高级支持
如果没有上述支持协议之一,可以从我们的合作伙伴之一购买扩展。
后续步骤:
如果满足上述资格,请联系以下列表中的合作伙伴购买Microsoft安全代码分析扩展。 否则,请联系 Microsoft安全代码分析支持部门。
合作 伙伴:
- 区域 - 联系人详细信息: cloudsupport@zones.com
- Wortell – 联系人详细信息: info@wortell.nl
- Logicalis – 联系人详细信息: logicalisleads@us.logicalis.com
成为合作伙伴
Microsoft安全代码分析团队希望邀请具有合作伙伴高级支持协议的合作伙伴加入。 合作伙伴将通过向那些希望购买但没有与 Microsoft 签订企业支持协议的客户销售扩展,帮助 Azure DevOps 客户更安全地进行开发。 感兴趣的合作伙伴可以 在此处注册。
安装Microsoft安全代码分析扩展
- 与 Azure DevOps 组织共享扩展后,请转到 Azure DevOps 组织页。 此类页面的示例 URL 为
https://dev.azure.com/contoso。 - 选择名称旁边的右上角的购物袋图标,然后选择“ 管理扩展”。
- 选择 “共享”。
- 选择Microsoft安全代码分析扩展,然后选择 安装。
- 从下拉列表中,选择要安装扩展的 Azure DevOps 组织。
- 选择 安装。 安装完成后,可以开始使用扩展。
注释
即使你无权安装扩展,请继续执行安装步骤。 可以在安装过程中从 Azure DevOps 组织管理员请求访问权限。
安装扩展后,安全开发生成任务可见,可用于添加到 Azure Pipelines。
将特定生成任务添加到 Azure DevOps 管道
- 从你的 Azure DevOps 组织中打开你的团队项目。
- 选择 管道>构建。
- 选择要在其中添加扩展生成任务的管道:
- 新建管道:选择“ 新建 ”,并按照详细步骤创建新管道。
- 编辑管道:选择现有管道,然后选择 “编辑” 以开始编辑管道。
- 选择 + 并转到“ 添加任务 ”窗格。
- 从列表或使用搜索框,找到要添加的生成任务。 选择 并添加。
- 指定任务所需的参数。
- 对新生成进行排队。
注释
文件和文件夹路径相对于源存储库的根目录。 如果将输出文件和文件夹指定为参数,则会将它们替换为我们在生成代理上定义的通用位置。
小提示
- 若要在生成后运行分析,请将Microsoft安全代码分析生成任务放置在生成项目的发布步骤之后。 这样,你的构建可以在运行静态分析工具之前完成并发布结果。
- 始终选择“ 出错时继续” 以执行安全开发生成任务。 即使一个工具失败,其他工具也可以运行。 工具之间没有相互依赖关系。
- Microsoft仅当工具无法成功运行时,安全代码分析生成任务才会失败。 但是,即使工具识别代码中的问题,它们也会成功。 通过使用后分析生成任务,您可以将生成配置为在工具识别出代码中的问题时使其失败。
- 某些 Azure DevOps 构建任务在通过发布管道运行时不受支持。 更具体地说,Azure DevOps 不支持从发布管道中发布项目的任务。
- 有关可在 Azure DevOps Team Build 中指定为参数的预定义变量的列表,请参阅 Azure DevOps 生成变量。
后续步骤
有关配置生成任务的详细信息,请参阅 我们的配置指南 或 YAML 配置指南。
如果对扩展和提供的工具有更多疑问,请查看我们的 常见问题解答页面。