上線和安裝

注意

自 2022 年 12 月 31 日起，Microsoft 安全性程式碼分析 (MSCA) 擴充功能已淘汰。 MSCA 會由 Microsoft Security DevOps Azure DevOps 擴充功能取代。請遵循設定中的指示來安裝和設定擴充功能。

開始使用 Microsoft 安全性程式碼分析的必要條件：

Microsoft 安全性程式碼分析擴充功能入門

如果您有下列支援供應項目之一，請連絡您的技術帳戶管理員以購買或交換現有的時數以取得擴充功能：

如果您沒有上述的任何一項支援合約，您可以向我們任一合作夥伴購買擴充功能。

後續步驟：

如果您符合上述資格，請連絡下列清單中的合作夥伴，以購買 Microsoft 安全性程式碼分析擴充功能。否則，請連絡 Microsoft 安全性程式碼分析支援。

合作夥伴：

Microsoft 安全性程式碼分析小組正在尋找擁有「合作夥伴頂級支援」合約的合作夥伴。我們的合作夥伴會將擴充功能賣給有意購買此功能，但沒有 Microsoft 企業支援合約的 Azure DevOps 客戶，幫助他們更安全地進行開發。有興趣的合作夥伴可以在這裡註冊。

與 Azure DevOps 組織共用擴充功能之後，請移至您的 Azure DevOps 組織頁面。這類頁面的範例 URL 為 https://dev.azure.com/contoso。
選取右上方在您名稱旁邊的購物包圖示，然後選取 [管理擴充功能]。
選取 [共用]。
選取 [Microsoft 安全性程式碼分析擴充功能]，然後選取 [安裝]。
從下拉式清單中選擇要安裝擴充功能的 Azure DevOps 組織。
選取 [安裝]。安裝完成後，您就可以開始使用擴充功能。

注意

就算您沒有安裝擴充功能的存取權，也請繼續進行安裝步驟。您可以在程式安裝期間向 Azure DevOps 組織管理員要求存取權。

安裝擴充功能之後，您就可以看見安全開發建置工作，並可將其新增至您的 Azure Pipelines。

從您的 Azure DevOps 組織開啟小組專案。
選取 [管線]>[組建]。
選取您要新增擴充功能建置工作的管線：
- 新增管線：選取 [新增]，然後遵循建立新管線的詳細步驟。
- 編輯管線：選取現有的管線，然後選取 [編輯] 以開始編輯管線。
選取 +，然後移至 [新增工作] 窗格。
在清單中或使用搜尋方塊來尋找您想要新增的建置工作。選取 [新增]。
指定工作所需的參數。
將新組建排入佇列。

注意

檔案和資料夾的路徑會相對於來源存放庫的根目錄。如果您將輸出檔案和資料夾指定為參數，其路徑會被取代為我們在組建代理程式上定義的通用位置。

秘訣

若要在建置之後進行分析，請將「Microsoft 安全性程式碼分析」建置工作放在組建的「發佈組建成品」步驟之後。如此一來，您的組建就可以先完成並發佈結果，再執行靜態分析工具。
針對安全開發建置工作，請一律選取 [發生錯誤時仍繼續]。即使有一個工具故障，其他工具依然可以執行。工具之間沒有相依性。
只有當工具執行失敗時，Microsoft 安全性程式碼分析建置工作才會失敗。但是，即使工具在程式碼中找到問題，工作依然會成功。利用後續分析建置工作，您可以在工具從程式碼中找到問題時，將組建設定為失敗。
透過發行管線執行時，某些 Azure DevOps 建置工作不受支援。具體來說，Azure DevOps 不支援從發行管線內發佈成品的工作。
如需可指定為參數的 Azure DevOps Team Build 預先定義變數清單，請參閱 Azure DevOps 組建變數。

如需設定建置工作的詳細資訊，請參閱組態指南或 YAML 組態指南。

如果您有更多關於擴充功能和所提供工具的問題，請參閱我們的常見問題集頁面。