Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Desde 31 de dezembro de 2022, a extensão MSCA (Microsoft Security Code Analysis) está desativada. O MSCA foi substituído pela extensão Microsoft Security DevOps do Azure DevOps. Siga as instruções descritas em Configurar para instalar e configurar a extensão.
Pré-requisitos para começar a usar a Análise de Código de Segurança da Microsoft:
- Uma oferta de Suporte Unificado da Microsoft qualificada, conforme detalhado na seção a seguir.
- Uma organização do Azure DevOps.
- Permissão para instalar extensões na organização do Azure DevOps.
- Código-fonte que pode ser sincronizado com um pipeline do Azure DevOps hospedado na nuvem.
Integrando a extensão análise de código de segurança da Microsoft
Interessado em comprar a extensão análise de código de segurança da Microsoft?
Se você tiver uma das seguintes ofertas de suporte, entre em contato com o Gerente de Conta Técnica para comprar ou trocar as horas existentes para obter acesso à extensão:
- Nível avançado de suporte unificado
- Camada de desempenho de suporte unificado
- Suporte premier para desenvolvedores
- Suporte premier para parceiros
- Suporte premier para empresas
Se você não tiver um dos contratos de suporte mencionados acima, poderá comprar a extensão de um de nossos Parceiros.
Próximas etapas:
Se você atender às qualificações acima, entre em contato com um parceiro na lista abaixo para comprar a extensão análise de código de segurança da Microsoft. Caso contrário, entre em contato Suporte à Análise de Código de Segurança da Microsoft.
Parceiros :
- Zonas – Detalhes do Contato: cloudsupport@zones.com
- Wortell – Detalhes do Contato: info@wortell.nl
- Logicalis – Detalhes do contato: logicalisleads@us.logicalis.com
Tornar-se um parceiro
A equipe de Análise de Código de Segurança da Microsoft está procurando integrar parceiros com um contrato de Suporte Premier para Parceiros. Os parceiros ajudarão a capacitar os clientes do Azure DevOps a se desenvolverem com mais segurança vendendo a extensão aos clientes que desejam comprá-la, mas não têm um contrato de Suporte Empresarial com a Microsoft. Os parceiros interessados podem se registrar aqui.
Instalando a extensão análise de código de segurança da Microsoft
- Depois que a extensão for compartilhada com sua organização do Azure DevOps, acesse a página da organização do Azure DevOps. Uma URL de exemplo para essa página é
https://dev.azure.com/contoso. - Selecione o ícone de sacola de compras no canto superior direito ao lado do seu nome e selecione Gerenciar extensões.
- Selecione Compartilhado.
- Selecione a extensão análise de código de segurança da Microsoft, selecione instalar.
- Na lista suspensa, escolha a organização do Azure DevOps na qual deseja instalar a extensão.
- Selecione Instalar. Após a conclusão da instalação, você pode começar a usar a extensão.
Observação
Mesmo que você não tenha acesso para instalar a extensão, continue com as etapas de instalação. Você pode solicitar acesso do administrador da organização do Azure DevOps durante o processo de instalação.
Depois de instalar a extensão, as tarefas de build de desenvolvimento seguro ficam visíveis e podem ser adicionadas ao Azure Pipelines.
Adicionando tarefas de build específicas ao pipeline do Azure DevOps
- Na sua organização do Azure DevOps, abra seu projeto de equipe.
- Selecione fluxos de trabalho>compilações.
- Selecione o pipeline no qual você deseja adicionar as tarefas de build de extensão:
- Novo pipeline: selecione Novo e siga as etapas detalhadas para criar um novo pipeline.
- Editar pipeline: selecione um pipeline existente e selecione Editar para começar a editar o pipeline.
- Selecione + e vá para o painel Adicionar Tarefas.
- Na lista ou usando a caixa de pesquisa, localize a tarefa de build que você deseja adicionar. Selecione Adicionar.
- Especifique os parâmetros necessários para a tarefa.
- Iniciar uma nova compilação.
Observação
Os caminhos de arquivo e pasta são relativos à raiz do repositório de origem. Se você especificar os arquivos de saída e as pastas como parâmetros, eles serão substituídos pelo local comum que definimos no agente de build.
Dica
- Para executar uma análise após a construção, coloque as tarefas de build da Análise de Código de Segurança da Microsoft após a etapa de publicação dos Artefatos de Construção. Dessa forma, seu build pode concluir e postar resultados antes de executar ferramentas de análise estática.
- Sempre selecione Continuar em Erro para tarefas de compilação de desenvolvimento seguro. Mesmo que uma ferramenta falhe, as outras poderão ser executadas. Não há interdependências entre as ferramentas.
- As tarefas de build da Análise de Código de Segurança da Microsoft falharão somente se uma ferramenta não for executada com êxito. Mas eles têm êxito mesmo que uma ferramenta identifique problemas no código. Usando a tarefa de pós-análise de build, você pode configurar a sua build para falhar quando uma ferramenta identifica problemas no código.
- Algumas tarefas de build do Azure DevOps não têm suporte quando executadas por meio de um pipeline de lançamento. Mais especificamente, o Azure DevOps não dá suporte a tarefas que publicam artefatos de dentro de um pipeline de lançamento.
- Para obter uma lista de variáveis predefinidas no build de equipe do Azure DevOps que você pode especificar como parâmetros, consulte Variáveis de Build do Azure DevOps.
Próximas etapas
Para obter mais informações sobre como configurar as tarefas de build, consulte nosso guia de configuração ou guia de configuração do YAML.
Se você tiver mais perguntas sobre a extensão e as ferramentas oferecidas, confira nossa página de perguntas frequentes .