iT邦幫忙

2023 iThome 鐵人賽

DAY 21
0
DevOps

Azure DevOps Troubleshooting and best practices 系列 第 21

Azure Pipeline 基本安全性掃描 - Microsoft Security DevOps Azure DevOps 擴充功能

  • 分享至 

  • xImage
  •  

前言

在 Azure DevOps Service 初期,微軟整合既有安全性工具於 Azure Pipeline,提供基本安全掃描功能。過了不久,即推出 Microsoft 安全性程式碼分析 (MSCA) 擴充功能,整合前面所提的數種工具,提供客戶掃描功能(需要自行聯繫)。比較讓人詬病的是,許多企業整合後,在 December 31, 2022 後即由 Microsoft Security DevOps Azure DevOps 擴充功能取代 連結。原有企業沒有收到任何主動通知,也遇到私自提升版本造成問題後,客戶需要固定版本以來度過轉換過渡時期。

MSCA 過去提供了 Anti-Malware Scanner、BinSkim、Credential Scanner、Roslyn Analyzers 與 TSLint。
https://ithelp.ithome.com.tw/upload/images/20230924/200914949MmxFSlbNQ.png

有別於 MSCA,Microsoft Security DevOps Azure DevOps 所提供的掃瞄功能如下:
https://ithelp.ithome.com.tw/upload/images/20231007/20091494pPIgdrkHxV.png

 
本篇文章我們將簡單介紹如何安裝 Microsoft Security DevOps Azure DevOps 擴充功能,若有任何問題或建議歡迎不吝提出。

 
 


Microsoft Security DevOps Azure DevOps 使用說明

Microsoft Security DevOps Azure DevOps 擴充功能可以從 Visaul Studio Marketplace Azure DevOps 類別中找到,只需要安裝組織並授權即可使用,詳細安裝步驟如下:

Step.1 開啟 Microsoft Security DevOps 擴充套件 畫面,點選 Get it Free。選擇組織後進行安裝:若你組織管理者,可以直接安裝;若你是一般使用者,可以發送請求安裝。

https://ithelp.ithome.com.tw/upload/images/20230924/20091494oi1SFLYOBI.png

 

Step 2. 若你是組織管理者,若有使用者請求安裝,可以開啟 Azure DevOps Portal,點選右上角市集 icon,點選 Manage Extension

https://ithelp.ithome.com.tw/upload/images/20230924/20091494kWvG55lwpd.png

 

再點選 Requested 畫面可以找到 Microsoft Security DevOps 請求;若已經安裝成功,可以在 installed 內找到。
https://ithelp.ithome.com.tw/upload/images/20230924/20091494TKk4AnWnPE.png

https://ithelp.ithome.com.tw/upload/images/20230924/20091494hVIDzakQIi.png

Step 3. 在 Pipeline YAML 檔案內,於 Step 內加入 Task,即完成設定
https://ithelp.ithome.com.tw/upload/images/20230924/200914946qkjAJxxEN.png

 

Step 4. 隨後執行 Pipeline
https://ithelp.ithome.com.tw/upload/images/20230924/20091494ZX5X9PxRmm.png

 

Step 5. Pipeline 執行完成後,開發人員可以在 Publish Artifact 結果內看見 SARIF SAST 報告。我們要安裝 SARIF SAST Scans Tab 擴充套件才能看到在 Azure Pipeline 結果業面上看到分析報告。
https://ithelp.ithome.com.tw/upload/images/20230924/20091494sWTjOdXFWp.png

https://ithelp.ithome.com.tw/upload/images/20230924/20091494pbUYI27qVZ.png

 

Step 6. 相同的,我們到 Visaul Studio Marketplace Azure DevOps 類別中找到 SARIF SAST Scans Tab 擴充套件,以相同方式安裝置組織。
https://ithelp.ithome.com.tw/upload/images/20231007/20091494sDlECbsgtQ.png

 

Step 7. 切回至 Pipeline 會發現多一個 Scan 頁簽,若掃描結果有問題,會呈現在此頁。
https://ithelp.ithome.com.tw/upload/images/20231007/20091494XONC6QyNmk.png


上一篇
DevSecOps 最佳實踐
下一篇
Azure DevOps Security - GitHub Advanced Security for Azure DevOps
系列文
Azure DevOps Troubleshooting and best practices 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言