Microsoft Güvenlik Kodu Analizi hakkında

Not

31 Aralık 2022'den itibaren Microsoft Güvenlik Kodu Analizi (MSCA) uzantısı kullanımdan kaldırıldı. MSCA, Microsoft Security DevOps Azure DevOps uzantısıyla değiştirilir. Uzantıyı yüklemek ve yapılandırmak için yapılandırma bölümündeki yönergeleri izleyin.

Microsoft Güvenlik Kodu Analizi uzantısıyla ekipler Azure DevOps sürekli tümleştirme ve teslim (CI/CD) işlem hatlarına güvenlik kodu analizi ekleyebilir. Bu analiz, Microsoft'taki Güvenli Geliştirme Yaşam Döngüsü (SDL) uzmanları tarafından önerilir.

Tutarlı bir UX, çalışan araçların karmaşıklığını gizleyerek güvenliği basitleştirir. Araçların NuGet tabanlı teslimi sayesinde ekiplerin artık araçların yüklenmesini veya güncelleştirilimini yönetmesi gerekmez. Derleme görevleri için hem komut satırı hem de temel arabirimlerle, tüm kullanıcılar araçlar üzerinde istedikleri kadar denetime sahip olabilir.

Teams ayrıca aşağıdakiler gibi güçlü postprocessing özelliklerini de kullanabilir:

  • Bekletme için günlükleri yayımlama.
  • Eyleme dönüştürülebilir, geliştirici odaklı raporlar oluşturma.
  • Regresyon testlerinde derleme sonlarını yapılandırma.

Microsoft Güvenlik Kodu Analizi'ni neden kullanmalıyım?

Güvenlik basitleştirilmiş

Azure DevOps işlem hattınıza Microsoft Güvenlik Kodu Analizi araçları eklemek, yeni görevler eklemek kadar kolaydır. Görevleri özelleştirin veya varsayılan davranışlarını kullanın. Görevler Azure DevOps işlem hattınızın bir parçası olarak çalışır ve birçok sonuç türünü ayrıntılandıran günlükler oluşturur.

Derlemeleri temizleme

Araçlar tarafından bildirilen ilk sorunları giderdikten sonra, uzantıyı yeni sorunlardaki derlemeleri kesecek şekilde yapılandırabilirsiniz. Her çekme isteğinde sürekli tümleştirme derlemeleri ayarlamak kolaydır.

Ayarlayın ve unutun

Varsayılan olarak, derleme görevleri ve araçları güncel kalır. Aracın güncelleştirilmiş bir sürümü varsa indirmeniz ve yüklemeniz gerekmez. Uzantı, güncelleştirme işlemini sizin için halleder.

Başlık altında

Uzantının derleme görevleri şu karmaşıklıkları gizler:

  • Güvenlik statik çözümleme araçlarını çalıştırma.
  • Özet rapor oluşturmak veya derlemeyi kesmek için günlük dosyalarından sonuçları işleme.

Microsoft Güvenlik Kodu Analizi araç kümesi

Microsoft Güvenlik Kodu Analizi uzantısı, önemli çözümleme araçlarının en son sürümlerini kullanımınıza hazır hale getirir. Uzantı hem Microsoft tarafından yönetilen araçları hem de açık kaynak araçları içerir.

bu araçlar, işlem hattını yapılandırmak ve çalıştırmak için ilgili derleme görevini kullandıktan sonra otomatik olarak bulutta barındırılan aracıya indirilir.

Bu bölümde, uzantıda şu anda kullanılabilen araçlar listelenir. Daha fazla araç eklemeyi izleyin. Ayrıca, eklememizi istediğiniz araçlarla ilgili önerilerinizi bize gönderin.

Kötü Amaçlı Yazılımdan Koruma Tarayıcısı

Kötü Amaçlı Yazılımdan Koruma Tarayıcısı derleme görevi artık Microsoft Güvenlik Kodu Analizi uzantısına eklenmiştir. Bu görev, önceden yüklenmiş Windows Defender olan bir derleme aracısı üzerinde çalıştırılmalıdır. Daha fazla bilgi için Windows Defender web sitesine bakın.

BinSkim

BinSkim, derleyici ayarlarını, bağlayıcı ayarlarını ve ikili dosyaların güvenlikle ilgili diğer özelliklerini doğrulayan Taşınabilir Yürütülebilir (PE) basit bir tarayıcıdır. Bu derleme görevi, binskim.exe konsol uygulamasının çevresinde bir komut satırı sarmalayıcı sağlar. BinSkim açık kaynak bir araçtır. Daha fazla bilgi için bkz . GitHub'da BinSkim.

Kimlik Bilgisi Tarayıcısı

Kaynak kodunda depolanan parolalar ve diğer gizli diziler önemli bir sorundur. Kimlik Bilgisi Tarayıcısı, bu sorunun çözülmesine yardımcı olan özel bir statik analiz aracıdır. Araç, kaynak kodunuzda ve derleme çıkışınızda kimlik bilgilerini, gizli dizileri, sertifikaları ve diğer hassas içerikleri algılar.

Roslyn Çözümleyicileri

Roslyn Çözümleyicileri, Yönetilen C# ve Visual Basic kodunu statik olarak analiz etmek için Microsoft'un derleyiciyle tümleşik aracıdır. Daha fazla bilgi için bkz. Roslyn tabanlı çözümleyiciler.

TSLint

TSLint, TypeScript kodunun okunabilirlik, bakım ve işlevsellikteki hataları denetlemesini sağlayan genişletilebilir bir statik çözümleme aracıdır. Modern düzenleyiciler ve derleme sistemleri tarafından yaygın olarak desteklenir. Kendi lint kurallarınız, yapılandırmalarınız ve biçimlendiricilerinizle özelleştirebilirsiniz. TSLint bir açık kaynak aracıdır. Daha fazla bilgi için bkz. GitHub'da TSLint.

Sonuçların analizi ve son işlemesi

Microsoft Güvenlik Kodu Analizi uzantısının üç işlem sonrası görevi de vardır. Bu görevler, güvenlik aracı görevleri tarafından bulunan sonuçları çözümlemenize yardımcı olur. bir işlem hattına eklendiğinde, bu görevler genellikle diğer tüm araç görevlerini izler.

Güvenlik Analizi Günlüklerini Yayımlama

Güvenlik Çözümleme Günlüklerini Yayımla derleme görevi, derleme sırasında çalıştırılacak güvenlik araçlarının günlük dosyalarını korur. Araştırma ve izleme için bu günlükleri okuyabilirsiniz.

Günlük dosyalarını Azure Artifacts'e .zip dosyası olarak yayımlayabilirsiniz. Bunları özel derleme aracınızdan erişilebilir bir dosya paylaşımına da kopyalayabilirsiniz.

Güvenlik Raporu

Güvenlik Raporu derleme görevi günlük dosyalarını ayrıştırıyor. Bu dosyalar, derleme sırasında çalışan güvenlik araçları tarafından oluşturulur. Ardından derleme görevi tek bir özet rapor dosyası oluşturur. Bu dosya, çözümleme araçları tarafından bulunan tüm sorunları gösterir.

Bu görevi belirli araçlar veya tüm araçlar için sonuçları rapor etmek üzere yapılandırabilirsiniz. Yalnızca hatalar veya hem hatalar hem de uyarılar gibi raporlayabileceğiniz sorun düzeyini de seçebilirsiniz.

Analiz Sonrası (derleme sonu)

Analiz Sonrası derleme göreviyle, bir derlemenin başarısız olmasına neden olan bir derleme sonu ekleyebilirsiniz. Bir veya daha fazla çözümleme aracı kodda sorun bildiriyorsa derleme sonu eklersiniz.

Bu görevi, belirli araçlar veya tüm araçlar tarafından bulunan sorunlar için derlemeyi bozacak şekilde yapılandırabilirsiniz. Ayrıca, hata veya uyarı gibi bulunan sorunların önem derecesine göre de yapılandırabilirsiniz.

Not

Tasarım gereği, görev başarıyla tamamlanırsa her derleme görevi başarılı olur. Bir aracın sorunları bulup bulmaması, derlemenin tüm araçların çalışmasına izin vererek tamamlanmaya kadar çalışabilmesi için bu doğrudur.

Sonraki adımlar

Microsoft Güvenlik Kodu Analizi'ni ekleme ve yükleme yönergeleri için Ekleme ve yükleme kılavuzumuza bakın.

Derleme görevlerini yapılandırma hakkında daha fazla bilgi için yapılandırma kılavuzumuza veya YAML Yapılandırma kılavuzumuza bakın.

Uzantı ve sunulan araçlar hakkında daha fazla sorunuz varsa SSS sayfamıza göz atın.