Om Microsoft Security Code Analysis

Med tillägget Microsoft Security Code Analysis kan team lägga till analys av säkerhetskod i sina CI/CD-pipelines (continuous integration and delivery) i Azure DevOps. Den här analysen rekommenderas av SDL-experterna (Secure Development Lifecycle) på Microsoft.

Ett konsekvent UX förenklar säkerheten genom att dölja komplexiteten i att köra verktyg. Med NuGet-baserad leverans av verktygen behöver teamen inte längre hantera installation eller uppdatering av verktyg. Med både kommandoradsgränssnitt och grundläggande gränssnitt för bygguppgifter kan alla användare ha så mycket kontroll över verktygen som de vill.

Teams kan också använda kraftfulla funktioner för efterbearbetning, till exempel:

• Publicera loggar för bevarande.
• Genererar användbara, utvecklarfokuserade rapporter.
• Konfigurera byggbrytningar i regressionstester.

Varför ska jag använda Microsoft Security Code Analysis?

Säkerheten förenklad

Att lägga till Microsoft Security Code Analysis-verktyg i din Azure DevOps-pipeline är lika enkelt som att lägga till nya uppgifter. Anpassa aktiviteterna eller använd deras standardbeteende. Aktiviteter körs som en del av din Azure DevOps-pipeline och skapar loggar som beskriver många typer av resultat.

Rensa byggen

När du har åtgärdat de första problemen som rapporterats av verktygen kan du konfigurera tillägget så att det bryter versioner av nya problem. Det är enkelt att konfigurera kontinuerlig integrering för varje pull request.

Ställ in den och glöm den

Som standard förblir bygguppgifterna och verktygen up-to-date. Om det finns en uppdaterad version av ett verktyg behöver du inte ladda ned och installera det. Tillägget tar hand om uppdateringen åt dig.

Under motorhuven

Tilläggets bygguppgifter döljer komplexiteten i:

• Köra säkerhetsverktyg för statisk analys.
• Bearbeta resultatet från loggfilerna för att skapa en sammanfattningsrapport eller bryta bygget.

Microsoft Security Code Analysis-verktygsuppsättning

Tillägget Microsoft Security Code Analysis gör de senaste versionerna av viktiga analysverktyg lättillgängliga för dig. Tillägget innehåller både Microsoft-hanterade verktyg och verktyg med öppen källkod.

Dessa verktyg laddas ned automatiskt till den molnbaserade agenten när du har använt motsvarande bygguppgift för att konfigurera och köra pipelinen.

I det här avsnittet visas den uppsättning verktyg som för närvarande är tillgängliga i tillägget. Håll utkik efter att lägga till fler verktyg. Skicka också dina förslag på verktyg som du vill att vi ska lägga till.

Skanner mot skadlig kod

Bygguppgiften Skanner mot skadlig kod ingår nu i Microsoft Security Code Analysis-tillägget. Den här uppgiften måste köras på en byggagent som redan har Windows Defender installerat. Mer information finns på Webbplatsen för Windows Defender.

BinSkim

BinSkim är en bärbar körbar (PE) lätt skanner som validerar kompilatorinställningar, länkningsinställningar och andra säkerhetsreleventa egenskaper för binära filer. Den här bygguppgiften innehåller en kommandoradsomslutning runt binskim.exe-konsolprogrammet. BinSkim är ett verktyg med öppen källkod. Mer information finns i BinSkim på GitHub.

Skanner för autentiseringsuppgifter

Lösenord och andra hemligheter som lagras i källkoden är ett stort problem. Credential Scanner är ett proprietärt statiskt analysverktyg som hjälper dig att lösa problemet. Verktyget identifierar autentiseringsuppgifter, hemligheter, certifikat och annat känsligt innehåll i källkoden och dina byggutdata.

Roslyn Analyzeers

Roslyn Analyzeers är Microsofts kompilatorintegrerade verktyg för statisk analys av hanterad C# och Visual Basic-kod. Mer information finns i Roslyn-baserade analysverktyg.

TSLint

TSLint är ett utökningsbart statiskt analysverktyg som kontrollerar TypeScript-kod för läsbarhet, underhåll och funktionsfel. Det stöds ofta av moderna redigerare och byggsystem. Du kan anpassa den med dina egna lintregler, konfigurationer och formaterare. TSLint är ett verktyg med öppen källkod. Mer information finns i TSLint på GitHub.

Analys och efterbearbetning av resultat

Microsoft Security Code Analysis-tillägget har också tre efterbehandlingsuppgifter. De här uppgifterna hjälper dig att analysera resultaten som hittas av säkerhetsverktygets uppgifter. När de läggs till i en pipeline följer dessa uppgifter vanligtvis alla andra verktygsuppgifter.

Publicera loggar för säkerhetsanalys

Kompileringsuppgiften Publicera säkerhetsanalysloggar bevarar loggfilerna för de säkerhetsverktyg som körs under bygget. Du kan läsa loggarna för undersökning och uppföljning.

Du kan publicera loggfilerna till Azure Artifacts som en .zip fil. Du kan också kopiera dem till en tillgänglig filresur från din privata kompilatoragent.

Säkerhetsrapport

Säkerhetsrapportens bygguppgift parsar loggfilerna. Dessa filer skapas av de säkerhetsverktyg som körs under bygget. Byggaktiviteten skapar sedan en enda sammanfattningsrapportfil. Den här filen visar alla problem som hittas av analysverktygen.

Du kan konfigurera den här uppgiften för att rapportera resultat för specifika verktyg eller för alla verktyg. Du kan också välja vilken problemnivå som ska rapporteras, till exempel endast fel eller både fel och varningar.

Efter analys (byggpaus)

Med bygguppgiften Efteranalys kan du injicera ett byggfel som avsiktligt gör att byggprocessen misslyckas. Du matar in en byggpaus om ett eller flera analysverktyg rapporterar problem i koden.

Du kan konfigurera den här uppgiften för att avbryta bygget för problem som hittas av specifika verktyg eller alla verktyg. Du kan också konfigurera det baserat på allvarlighetsgraden för problem som hittas, till exempel fel eller varningar.

Nästa steg

Anvisningar om hur du registrerar och installerar Microsoft Security Code Analysis finns i vår guide för registrering och installation.

Mer information om hur du konfigurerar bygguppgifterna finns i vår konfigurationsguide eller YAML-konfigurationsguide.

Om du har ytterligare frågor om tillägget och de verktyg som erbjuds kan du läsa vår faq-sida.