Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Analizza il codice in un repository Git di Azure Repos per individuare vulnerabilità di sicurezza ed errori di codifica. È necessario avere GitHub Advanced Security for Azure DevOps abilitato per l'analisi del repository.
Sintassi
# Advanced Security Perform CodeQL analysis v1
# Finalizes the CodeQL database and runs the analysis queries.
- task: AdvancedSecurity-Codeql-Analyze@1
inputs:
#WaitForProcessing: false # boolean. Enable Wait for Processing. Default: false.
#WaitForProcessingInterval: '5' # string. Optional. Use when WaitForProcessing = true. Wait for Processing Time Interval. Default: 5.
#WaitForProcessingTimeout: '120' # string. Optional. Use when WaitForProcessing = true. Wait for Processing Timeout. Default: 120.
Ingressi dati
WaitForProcessing
-
Abilita Attendi Elaborazione
boolean. Valore predefinito: false
Attendi che Advanced Security elabori il file SARIF pubblicato prima di completare.
WaitForProcessingInterval
-
Attendi l'intervallo di tempo di elaborazione
string. Opzionale. Usare quando WaitForProcessing = true. Valore predefinito: 5
Tempo, in secondi, di attesa tra una chiamata e l'altra a Sicurezza avanzata per verificare lo stato dell'elaborazione SARIF.
WaitForProcessingTimeout
-
Attendi il timeout dell'elaborazione
string. Opzionale. Usare quando WaitForProcessing = true. Valore predefinito: 120
Tempo, in secondi, di attesa per l'elaborazione del file SARIF da parte di Advanced Security prima del completamento.
Opzioni di controllo delle attività
Tutte le attività hanno opzioni di controllo oltre ai relativi input di attività. Per altre informazioni, vedere Opzioni di controllo e proprietà comuni delle attività.
Variabili di uscita
Nessuno.
Osservazioni:
Importante
Questa attività è supportata solo con i repository Git di Azure Repos.
Prerequisiti
Affinché l'attività venga completata correttamente e popolata la scheda Sicurezza avanzata per l'archivio analizzato, è necessario abilitare Sicurezza avanzata per tale archivio prima di eseguire una build con l'attività di analisi delle dipendenze inclusa.
L'attività è disponibile per l'esecuzione in agenti self-hosted e in agenti ospitati da Microsoft. Per gli agenti self-hosted, vedere ulteriori istruzioni per la configurazione dell'agente self-hosted.
La pipeline deve chiamare le attività nell'ordine seguente.
- Inizializzare CodeQL
- AutoBuild (o le attività di compilazione personalizzate)
- Eseguire l'analisi codeQL
L'attività AutoBuild è facoltativa e può essere sostituita con le attività di compilazione personalizzate. Per analizzare il progetto, è necessario eseguire AutoBuild o le attività di compilazione personalizzate.
L'attività di analisi deve essere visualizzata dopo l'attività di inizializzazione per essere completata correttamente.
# Initialize CodeQL database
- task: AdvancedSecurity-Codeql-Init@1
inputs:
languages: 'csharp'
displayName: 'Advanced Security Initialize CodeQL'
# Build project using Autobuild or your own custom build steps
- task: AdvancedSecurity-Codeql-Autobuild@1
displayName: 'Advanced Security Autobuild'
# Run analysis
- task: AdvancedSecurity-Codeql-Analyze@1
displayName: 'Advanced Security Code Scanning'
Requisiti
| Requisito | Descrizione |
|---|---|
| Tipi di pipeline | YAML, build classica, versione classica |
| Viene eseguito in | Agente, DeploymentGroup |
| Richieste | Nessuno |
| Funzionalità | Questa attività non soddisfa alcuna richiesta di attività successive nel processo. |
| restrizioni dei comandi | Qualunque |
| variabili impostabili | Qualunque |
| Versione agente | Tutte le versioni dell'agente supportate. |
| Categoria attività | Costruire |