在 Azure DevOps Service 初期,微軟整合既有安全性工具於 Azure Pipeline,提供基本安全掃描功能。過了不久,即推出 Microsoft 安全性程式碼分析 (MSCA) 擴充功能,整合前面所提的數種工具,提供客戶掃描功能(需要自行聯繫)。比較讓人詬病的是,許多企業整合後,在 December 31, 2022 後即由 Microsoft Security DevOps Azure DevOps 擴充功能取代 連結。原有企業沒有收到任何主動通知,也遇到私自提升版本造成問題後,客戶需要固定版本以來度過轉換過渡時期。
MSCA 過去提供了 Anti-Malware Scanner、BinSkim、Credential Scanner、Roslyn Analyzers 與 TSLint。
有別於 MSCA,Microsoft Security DevOps Azure DevOps 所提供的掃瞄功能如下:
本篇文章我們將簡單介紹如何安裝 Microsoft Security DevOps Azure DevOps 擴充功能,若有任何問題或建議歡迎不吝提出。
Microsoft Security DevOps Azure DevOps 擴充功能可以從 Visaul Studio Marketplace Azure DevOps 類別中找到,只需要安裝組織並授權即可使用,詳細安裝步驟如下:
Step.1 開啟 Microsoft Security DevOps 擴充套件 畫面,點選 Get it Free。選擇組織後進行安裝:若你組織管理者,可以直接安裝;若你是一般使用者,可以發送請求安裝。
Step 2. 若你是組織管理者,若有使用者請求安裝,可以開啟 Azure DevOps Portal,點選右上角市集 icon,點選 Manage Extension
再點選 Requested 畫面可以找到 Microsoft Security DevOps 請求;若已經安裝成功,可以在 installed 內找到。
Step 3. 在 Pipeline YAML 檔案內,於 Step 內加入 Task,即完成設定
Step 4. 隨後執行 Pipeline
Step 5. Pipeline 執行完成後,開發人員可以在 Publish Artifact 結果內看見 SARIF SAST 報告。我們要安裝 SARIF SAST Scans Tab 擴充套件才能看到在 Azure Pipeline 結果業面上看到分析報告。
Step 6. 相同的,我們到 Visaul Studio Marketplace Azure DevOps 類別中找到 SARIF SAST Scans Tab 擴充套件,以相同方式安裝置組織。
Step 7. 切回至 Pipeline 會發現多一個 Scan 頁簽,若掃描結果有問題,會呈現在此頁。