Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Überprüfen Sie Ihre Anwendung auf Schwachstellen in Open-Source-Komponenten, die in Ihrem Quellcode verwendet werden. Sie müssen GitHub Advanced Security für Azure DevOps für das zu scannende Repository aktiviert haben.
Syntax
# Advanced Security Dependency Scanning v1
# Scan for open source dependency vulnerabilities in your source code.
- task: AdvancedSecurity-Dependency-Scanning@1
inputs:
# Advanced
#directoryExclusionList: # string. Directory exclusion list.
Eingänge
directoryExclusionList
-
Verzeichnis-Ausschlussliste
string.
Liste der relativen Verzeichnispfade, die ignoriert werden sollen, als Satz von durch Semikolons getrennten Werten. Wenn keine Pfade aufgeführt sind, wird alles unter dem Quellverzeichnis gescannt. Die Filterung unterstützt den Abgleich von Glob-Mustern von Verzeichnissen.
Aufgabensteuerungsoptionen
Alle Aufgaben verfügen zusätzlich zu ihren Aufgabeneingaben über Steuerungsoptionen. Weitere Informationen finden Sie unter Steuerelementoptionen und allgemeinen Aufgabeneigenschaften.
Ausgabevariablen
Keiner.
Bemerkungen
Gehen Sie wie nachfolgend beschrieben vor, um Ihre Anwendung auf Sicherheitsanfälligkeiten in Open-Source-Komponenten zu überprüfen, die in Ihrem Quellcode verwendet werden.
Von Bedeutung
Diese Aufgabe wird nur mit Azure Repos Git-Repositorys unterstützt.
Sie müssen GitHub Advanced Security für Azure DevOps für das zu scannende Repository aktiviert haben.
Voraussetzungen
Damit die Aufgabe erfolgreich abgeschlossen und die Registerkarte "Erweiterte Sicherheit" für das gescannte Repository ausgefüllt werden kann, muss die erweiterte Sicherheit für dieses Repository aktiviert werden, bevor ein Build ausgeführt wird, in dem die Aufgabe zur Überprüfung von Abhängigkeiten enthalten ist.
Die Aufgabe kann sowohl auf selbstgehosteten Agents als auch auf von Microsoft gehosteten Agents ausgeführt werden. Informationen zu selbstgehosteten Agents finden Sie in den zusätzlichen Anweisungen zum Einrichten von selbstgehosteten Agents.
Um die genauesten Überprüfungsergebnisse zu erzielen, fügen Sie den Abhängigkeitsscantask "Erweiterte Sicherheit" nach den Buildschritten, aber vor jeder Bereinigung des Buildprozesses hinzu, wie im folgenden Beispiel gezeigt.
# Authenticate Azure DevOps NuGet feed
- task: NuGetAuthenticate@1
displayName: 'Authenticate Azure DevOps NuGet feed'
# Restore project
- task: DotNetCoreCLI@2
inputs:
command: 'custom'
custom: 'restore'
# Build project
- task: DotNetCoreCLI@2
inputs:
command: 'custom'
custom: 'build'
arguments: '--no-restore'
# Run dependency scanning
- task: AdvancedSecurity-Dependency-Scanning@1
displayName: 'Advanced Security Dependency Scanning'
Anforderungen
| Anforderung | BESCHREIBUNG |
|---|---|
| Pipelinetypen | YAML, Classic Build, Classic Release |
| Läuft auf | Agent, DeploymentGroup |
| Anforderungen | Nichts |
| Funktionen | Dieser Vorgang erfüllt keine Anforderungen für nachfolgende Vorgänge im Auftrag. |
| Befehlseinschränkungen | Beliebig |
| Settable-Variablen | Beliebig |
| Agentversion | 2.206.1 oder höher |
| Vorgangskategorie | Nützlichkeit |