Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Ab dem 31. Dezember 2022 wird die MsCA-Erweiterung (Microsoft Security Code Analysis) eingestellt. MSCA wird durch die Microsoft Security DevOps Azure DevOps Erweiterungersetzt. Befolgen Sie die Anweisungen in Konfigurieren von, um die Erweiterung zu installieren und zu konfigurieren.
Voraussetzungen für die ersten Schritte mit der Microsoft Security Code Analysis:
- Ein berechtigtes Microsoft Unified Support-Angebot, wie im folgenden Abschnitt beschrieben.
- Eine Azure DevOps-Organisation.
- Berechtigung zum Installieren von Erweiterungen für die Azure DevOps-Organisation.
- Quellcode, der mit einer in der Cloud gehosteten Azure DevOps-Pipeline synchronisiert werden kann.
Einrichtung der Microsoft Security Code Analysis-Erweiterung
Möchten Sie die Microsoft Security Code Analysis-Erweiterung erwerben?
Wenn Sie über eines der folgenden Supportangebote verfügen, wenden Sie sich an Ihren Technical Account Manager, um vorhandene Stunden zu kaufen oder auszutauschen, um Zugriff auf die Erweiterung zu erhalten:
- Erweiterte Ebene für Unified Support
- Stufe "Unified Support Performance"
- Premier Support für Entwickler
- Premier Support für Partner
- Premier Support für Unternehmen
Wenn Sie keine der oben genannten Supportverträge haben, können Sie die Verlängerung von einem unserer Partner erwerben.
Nächste Schritte:
Wenn Sie die oben genannten Qualifikationen erfüllen, wenden Sie sich an einen Partner aus der folgenden Liste, um die Microsoft Security Code Analysis-Erweiterung zu erwerben. Wenden Sie sich andernfalls an den Microsoft Security Code Analysis Support.
Partner:
- Zonen – Kontaktdetails: cloudsupport@zones.com
- Wortell – Kontaktdaten: info@wortell.nl
- Logicalis – Kontaktdaten: logicalisleads@us.logicalis.com
Partner werden
Das Microsoft Security Code Analysis-Team sucht partner mit einem Premier Support for Partners Agreement. Partner helfen Azure DevOps-Kunden dabei, sich sicherer zu entwickeln, indem sie die Erweiterung an Kunden verkaufen, die sie kaufen möchten, aber keinen Enterprise-Supportvertrag mit Microsoft haben. Interessierte Partner können sich hier registrieren.
Installieren der Microsoft Security Code Analysis-Erweiterung
- Nachdem die Erweiterung für Ihre Azure DevOps-Organisation freigegeben wurde, wechseln Sie zu Ihrer Azure DevOps-Organisationsseite. Eine Beispiel-URL für eine solche Seite ist
https://dev.azure.com/contoso. - Wählen Sie das Einkaufstaschensymbol in der oberen rechten Ecke neben Ihrem Namen aus, und wählen Sie dann "Erweiterungen verwalten" aus.
- Wählen Sie "Freigegeben" aus.
- Wählen Sie die Microsoft Security Code Analysis-Erweiterung aus, und wählen Sie "Installieren" aus.
- Wählen Sie in der Dropdownliste die Azure DevOps-Organisation aus, auf der die Erweiterung installiert werden soll.
- Wählen Sie Installieren aus. Nach Abschluss der Installation können Sie mit der Erweiterung beginnen.
Hinweis
Auch wenn Sie keinen Zugriff auf die Installation der Erweiterung haben, fahren Sie mit den Installationsschritten fort. Sie können während des Installationsvorgangs zugriff von Ihrem Azure DevOps-Organisationsadministrator anfordern.
Nachdem Sie die Erweiterung installiert haben, sind die sicheren Build-Aufgaben sichtbar und können zu Ihren Azure-Pipelines hinzugefügt werden.
Hinzufügen bestimmter Buildaufgaben zur Azure DevOps-Pipeline
- Öffnen Sie in Ihrer Azure DevOps-Organisation Ihr Teamprojekt.
- Wählen Sie Pipelines>Builds aus.
- Wählen Sie die Pipeline aus, in der Sie die Erweiterungsbuildaufgaben hinzufügen möchten:
- Neue Pipeline: Wählen Sie "Neu" aus, und führen Sie die schritte aus, um eine neue Pipeline zu erstellen.
- Pipeline bearbeiten: Wählen Sie eine vorhandene Pipeline aus, und wählen Sie dann "Bearbeiten" aus, um mit der Bearbeitung der Pipeline zu beginnen.
- Wählen Sie + aus und wechseln Sie zur Aufgaben hinzufügen-Seite.
- Suchen Sie in der Liste oder mithilfe des Suchfelds die Buildaufgabe, die Sie hinzufügen möchten. Wählen Sie Hinzufügen aus.
- Geben Sie die parameter an, die für den Vorgang erforderlich sind.
- Einen neuen Build in die Warteschlange stellen
Hinweis
Datei- und Ordnerpfade sind relativ zum Stamm des Quell-Repositorys. Wenn Sie die Ausgabedateien und Ordner als Parameter angeben, werden sie durch den gemeinsamen Speicherort ersetzt, den wir für den Build-Agent definiert haben.
Tipp
- Wenn Sie eine Analyse nach dem Build ausführen möchten, platzieren Sie die Buildaufgaben der Microsoft Security Code Analysis nach dem Schritt "Buildartefakte veröffentlichen" Ihres Builds. Auf diese Weise kann Ihr Build Ergebnisse abschließen und posten, bevor statische Analysetools ausgeführt werden.
- Wählen Sie immer "Fortsetzen bei Fehler" für Aufgaben in der sicheren Entwicklungsumgebung aus. Selbst wenn ein Tool fehlschlägt, können die anderen ausgeführt werden. Es gibt keine Abhängigkeiten zwischen Tools.
- Microsoft Security Code Analysis-Buildaufgaben schlagen nur fehl, wenn ein Tool nicht erfolgreich ausgeführt werden kann. Aber sie sind erfolgreich, auch wenn ein Tool Probleme im Code identifiziert. Mithilfe der Buildaufgabe nach der Analyse können Sie den Build so konfigurieren, dass er fehlschlägt, wenn ein Tool Probleme im Code identifiziert.
- Einige Azure DevOps-Buildaufgaben werden nicht unterstützt, wenn sie über eine Releasepipeline ausgeführt werden. Genauer gesagt unterstützt Azure DevOps keine Aufgaben, die Artefakte aus einer Releasepipeline veröffentlichen.
- Eine Liste der vordefinierten Variablen im Azure DevOps-Teambuild, die Sie als Parameter angeben können, finden Sie unter Azure DevOps Build Variables.
Nächste Schritte
Weitere Informationen zum Konfigurieren der Buildaufgaben finden Sie in unserem Konfigurationshandbuch oder YAML-Konfigurationshandbuch.
Wenn Sie weitere Fragen zu der Erweiterung und den angebotenen Tools haben, schauen Sie sich unsere FAQ-Seitean.