Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Nota
Efektif mulai 31 Desember 2022, ekstensi Microsoft Security Code Analysis (MSCA) dihentikan. MSCA digantikan oleh ekstensi Microsoft Security DevOps Azure DevOps. Ikuti instruksi di Mengonfigurasi untuk menginstal dan mengonfigurasi ekstensi.
Dengan ekstensi Microsoft Security Code Analysis, tim dapat menambahkan analisis kode keamanan ke alur integrasi dan pengiriman berkelanjutan (CI/CD) Azure DevOps mereka. Analisis ini direkomendasikan oleh pakar Secure Development Lifecycle (SDL) di Microsoft.
UX yang konsisten menyederhanakan keamanan dengan menyembunyikan kompleksitas alat yang sedang berjalan. Dengan pengiriman alat berbasis NuGet, tim tidak perlu lagi mengelola penginstalan atau pembaruan alat. Dengan antarmuka baris perintah dan antarmuka dasar untuk tugas build, semua pengguna dapat memiliki kontrol sebanyak yang mereka inginkan atas alat tersebut.
Teams juga dapat menggunakan kemampuan pascaproscesing yang kuat seperti:
- Menerbitkan log untuk penyimpanan.
- Menghasilkan laporan yang dapat ditindaklanjuti dan berfokus pada pengembang.
- Mengonfigurasi penghentian build pada pengujian regresi.
Mengapa saya harus menggunakan Analisis Kode Keamanan Microsoft?
Keamanan disederhanakan
Menambahkan alat Analisis Kode Keamanan Microsoft ke alur Azure DevOps semudah menambahkan tugas baru. Kustomisasi tugas atau gunakan perilaku defaultnya. Tugas berjalan sebagai bagian dari alur Azure DevOps Anda dan menghasilkan log yang merinci banyak jenis hasil.
Bangun Bersih
Setelah mengatasi masalah awal yang dilaporkan oleh alat, Anda dapat mengonfigurasi ekstensi untuk memutus build terhadap masalah baru. Menyiapkan build integrasi berkelanjutan pada setiap permintaan pull itu mudah.
Tinggal atur, lalu lupakan
Secara bawaan, tugas dan alat build selalu diperbarui. Jika ada versi alat yang diperbarui, Anda tidak perlu mengunduh dan menginstalnya. Ekstensi secara otomatis mengurus pembaruan untuk Anda.
Di bawah tenda
Tugas penyusunan ekstensi menyembunyikan kompleksitas:
- Menjalankan alat analisis statis keamanan.
- Memproses hasil log file untuk membuat laporan ringkasan atau menghentikan proses build.
Set alat Analisis Kode Keamanan Microsoft
Ekstensi Microsoft Security Code Analysis membuat versi terbaru alat analisis penting tersedia untuk Anda. Ekstensi ini mencakup alat yang dikelola Microsoft dan alat sumber terbuka.
Alat-alat ini secara otomatis diunduh ke agen yang dihosting cloud setelah Anda menggunakan tugas build yang sesuai untuk mengonfigurasi dan menjalankan alur.
Bagian ini mencantumkan sekumpulan alat yang saat ini tersedia di ekstensi. Perhatikan penambahan alat lainnya. Selain itu, kirimi kami saran Anda untuk alat yang ingin Anda tambahkan.
Pemindai Anti-Malware
Tugas build Anti-Malware Scanner sekarang disertakan dalam ekstensi Microsoft Security Code Analysis. Tugas ini harus dijalankan pada agen build yang sudah menginstal Windows Defender. Untuk informasi selengkapnya, lihat situs web Windows Defender .
BinSkim
BinSkim adalah pemindai ringan Portable Executable (PE) yang memvalidasi pengaturan pengkompilasi, pengaturan linker, dan karakteristik file biner yang relevan dengan keamanan lainnya. Tugas build ini menyediakan pembungkus baris perintah di sekitar aplikasi konsol binskim.exe. BinSkim adalah alat sumber terbuka. Untuk informasi selengkapnya, lihat BinSkim di GitHub.
Pemindai Identitas
Kata sandi dan rahasia lain yang disimpan dalam kode sumber adalah masalah yang signifikan. Credential Scanner adalah alat analisis statis eksklusif yang membantu menyelesaikan masalah ini. Alat ini mendeteksi kredensial, rahasia, sertifikat, dan konten sensitif lainnya dalam kode sumber dan output build Anda.
Penganalisis Roslyn
Roslyn Analyzers adalah alat terintegrasi kompilator Microsoft untuk menganalisis kode C# dan Visual Basic terkelola secara statis. Untuk informasi selengkapnya, lihat penganalisis berbasis Roslyn.
TSLint
TSLint adalah alat analisis statis yang dapat diperluas yang memeriksa kode TypeScript untuk keterbacaan, pemeliharaan, dan kesalahan dalam fungsionalitas. Ini banyak didukung oleh editor modern dan sistem build. Anda dapat menyesuaikannya dengan aturan, konfigurasi, dan pemformat lint Anda sendiri. TSLint adalah alat sumber terbuka. Untuk informasi selengkapnya, lihat TSLint di GitHub.
Analisis dan pasca-pemrosesan hasil
Ekstensi Microsoft Security Code Analysis juga memiliki tiga tugas pasca-pemrosesan. Tugas-tugas ini membantu Anda menganalisis hasil yang ditemukan oleh tugas alat keamanan. Saat ditambahkan ke alur, tugas-tugas ini biasanya mengikuti semua tugas alat lainnya.
Memublikasikan Log Analisis Keamanan
Tugas build Publish Security Analysis Logs mempertahankan file log alat keamanan yang dijalankan selama build. Anda dapat membaca log ini untuk penyelidikan dan tindak lanjut.
Anda dapat menerbitkan file log ke Azure Artifacts sebagai file .zip. Anda juga dapat menyalinnya ke berbagi file yang dapat diakses dari agen build privat Anda.
Laporan Keamanan
Tugas pembuatan Laporan Keamanan memproses file log. File-file ini dibuat oleh alat keamanan yang berjalan selama build. Tugas build kemudian membuat satu file laporan ringkasan. File ini menunjukkan semua masalah yang ditemukan oleh alat analisis.
Anda dapat mengonfigurasi tugas ini untuk melaporkan hasil untuk alat tertentu atau untuk semua alat. Anda juga dapat memilih tingkat masalah apa yang akan dilaporkan, seperti kesalahan saja atau kesalahan dan peringatan.
Analisis Pasca-Kompilasi (kerusakan proses pembuatan)
Dengan tugas membangun Pasca-Analisis, Anda dapat menyuntikkan kesalahan build yang sengaja menyebabkan build gagal. Anda menyuntikkan pemutusan build jika satu atau beberapa alat analisis melaporkan masalah dalam kode.
Anda dapat mengonfigurasi tugas ini untuk menghentikan build jika menemukan masalah yang terdeteksi oleh alat tertentu atau semua alat. Anda juga dapat mengonfigurasinya berdasarkan tingkat keparahan masalah yang ditemukan, seperti kesalahan atau peringatan.
Nota
Secara desain, setiap tugas build berhasil jika tugas berhasil diselesaikan. Ini benar apakah alat menemukan masalah atau tidak, sehingga build dapat berjalan hingga selesai dengan memungkinkan semua alat berjalan.
Langkah berikutnya
Untuk petunjuk tentang cara memulai dan menginstal Microsoft Security Code Analysis, lihat panduan Memulai dan Penginstalan kami.
Untuk informasi selengkapnya tentang mengonfigurasi tugas build, lihat panduan Konfigurasi kami atau panduan Konfigurasi YAML .
Jika Anda memiliki pertanyaan lebih lanjut tentang perpanjangan dan alat yang ditawarkan, silakan lihat halaman FAQ kami.