注
2022 年 12 月 31 日をもって、Microsoft Security Code Analysis (MSCA) 拡張機能は廃止されました。 MSCA は、 Microsoft Security DevOps Azure DevOps 拡張機能に置き換えられます。 拡張機能をインストールして 構成するには、「構成 」の手順に従います。
この記事では、各ビルド タスクで使用できるすべての YAML 構成オプションの一覧を示します。 この記事では、最初にセキュリティ コード分析ツールのタスクについて説明します。 最後に、後処理タスクについて説明します。
マルウェア対策スキャナータスク
| InputType | 種類 | 適用 | 必須 | 既定値 | オプション (候補リストの場合) | 説明 |
|---|---|---|---|---|---|---|
| 入力タイプ | ピックリスト | 常時 | 正しい | 基本 | ベーシック、カスタム | |
| ScanType(スキャンタイプ) | ピックリスト | 入力タイプ = 基本 | 正しい | カスタムスキャン | CustomScan、FullSystemScan、QuickScan、YourConfiguredScan | マルウェア対策スキャンに使用するスキャンの種類。 |
| ファイルディレクトリパス (FileDirPath) | ファイルパス | ScanType = カスタムスキャン | 正しい | $(Build.StagingDirectory) | スキャン対象のファイルまたはディレクトリを示します。 | |
| リメディエーションを無効化 | ブール型 | ScanType = カスタムスキャン | 偽 | ほんとう | オンの場合:1) ファイルの除外は無視されます。 2) アーカイブ ファイルはスキャンされます。 3) 検出後にアクションは適用されません。 4) イベント ログ エントリは検出後に書き込まれません。 5) カスタム スキャンからの検出はユーザー インターフェイスに表示されません。 6) コンソールの出力には、カスタム スキャンからの検出の一覧が表示されます。 | |
| ブートセクタースキャン | ブール型 | ScanType = カスタムスキャン | 偽 | 偽 | オンにすると、ブート セクター スキャンが有効になります。 | |
| 引数 | ひも | InputType = Custom | 正しい | -スキャン -ScanType 3 -DisableRemediation -File $(Build.StagingDirectory) | コマンド ライン引数。-File の引数は絶対パス、またはビルド エージェントで事前に定義されている $(Build.StagingDirectory) の相対パスです。 注:最後の引数として -File の引数を指定しない場合、既定値の $(Build.StagingDirectory) になります。 MpCmdRun.exe ツールで使用できる独自の引数を指定することもできます。 このツールのコマンド ライン引数の詳細については、[引数] フィールドに 「-h 」または 「-? 」と入力し、ビルド タスクを実行してください。 |
|
| EnableServices | ブール型 | 常時 | 正しい | 偽 | チェックすると、Windows Update に必要なサービスが無効になっている場合、それらを有効にしようとします。 注: グループ ポリシーがサービスを無効にせず、このビルドが実行されているアカウントに管理者特権があることを確認してください。 |
|
| ログオンエラーサポート | ブール型 | 常時 | 正しい | 偽 | オンにすると、エラーが発生したときに診断用のサポート ファイルが収集されます。 この処理には数分かかることがあります。 注: このビルドが実行されているアカウントに管理者特権があることを確認してください。 |
|
| 署名更新失敗として扱う | ピックリスト | 常時 | 正しい | 警告 | Error、Standard、Warning | 実行時に署名を更新できない場合に使用されるログ レベルです。 [エラー] に設定すると、署名の更新に失敗すると、ビルド タスクが失敗します。 署名が比較的新しい (3 時間未満) 場合でも、ホストされているビルド エージェント上で署名の更新が失敗することがよくあるので、注意してください。 |
| シグネチャーフレッシュネス | ピックリスト | 常時 | 正しい | UpToDate | ワンデー、スリーデー、ツーデー、最新情報 | マルウェア対策署名に許容される最長経過日数。 署名を更新できず、この値より古い場合、[署名の有効期間の検証] フィールドで選択した値に従ってビルド タスク が 動作します。 注: [最新] を選択した場合、署名は最大 3 時間前に許可されます。 |
| ステール署名として扱う | ピックリスト | 常時 | 正しい | エラー | Error、Standard、Warning | 署名の有効期間が、選択した マルウェア対策署名の有効期間より古い場合に使用されるログ レベル。 古い署名は、マルウェア対策スキャンを続行するための 警告 または 情報 として扱われる可能性がありますが、これは推奨されません。 |
BinSkim タスク
| InputType | 種類 | 適用 | 必須 | 既定値 | オプション (候補リストの場合) | 説明 |
|---|---|---|---|---|---|---|
| 入力タイプ | ピックリスト | 常時 | 正しい | 基本 | Basic、CommandLine | |
| 引数 | ひも | 入力タイプ = コマンドライン | 正しい | 実行する標準の BinSkim コマンド ライン引数。 出力パスが削除され、置き換えられます。 このツールのコマンド ライン引数の詳細については、[引数] フィールドに ヘルプ を入力し、ビルド タスクを実行してください。 |
||
| 機能 | ピックリスト | 入力タイプ = 基本 | 正しい | 分析する | analyze、dump、exportConfig、exportRules | |
| アナライズターゲット | ファイルパス | 入力タイプ = 基本 && 機能 = 分析 | 正しい | $(Build.ArtifactStagingDirectory)*.dll; $(Build.ArtifactStagingDirectory)*.exe |
分析対象となるファイル、ディレクトリ、またはフィルターパターンを指定するための一つ以上の指定子を入力してください。これらの指定子は、1つ以上のバイナリに解決される必要があります。複数の指定子を入力することも可能です。 セミコロン(';')で区切られたリスト | |
| AnalyzeSymPath | ひも | 入力タイプ = 基本 && 機能 = 分析 | 偽 | ターゲットのシンボル ファイルのパス。 | ||
| 構成パスを分析 | ひも | 入力タイプ = 基本 && 機能 = 分析 | 偽 | デフォルト | 分析の構成に使用されるポリシー ファイルのパス。 組み込みの設定を使用するには、'default' の値を渡します。 | |
| AnalyzePluginPath | ひも | 入力タイプ = 基本 && 機能 = 分析 | 偽 | 分析セット内のすべてのターゲットに対して呼び出されるプラグインのパス。 | ||
| AnalyzeRecurse | ブール型 | 入力タイプ = 基本 && 機能 = 分析 | 偽 | ほんとう | ファイル指定子引数を評価するときにサブディレクトリに再帰します。 | |
| AnalyzeVerbose | ブール型 | 入力タイプ = 基本 && 機能 = 分析 | 偽 | 偽 | 詳細出力を生成します。 結果の包括的なレポートは、コンプライアンス シナリオに適切な証拠が提供されるように設計されています。 | |
| ハッシュを解析 | ブール型 | 入力タイプ = 基本 && 機能 = 分析 | 偽 | 偽 | SARIF レポートを生成するときに、分析ターゲットの SHA-256 ハッシュを出力します。 | |
| 統計を分析する | ブール型 | 入力タイプ = 基本 && 機能 = 分析 | 偽 | 偽 | 分析セッションのタイミングとその他の統計情報を生成します。 | |
| AnalyzeEnvironment | ブール型 | 入力タイプ = 基本 && 機能 = 分析 | 偽 | 偽 | 実行のマシン環境の詳細を出力ファイルに記録します。 警告:このオプションを選択すると、機密性が高い可能性がある情報 (すべての環境変数値など) が生成されるログに記録されます。 | |
| エクスポートルール出力タイプ | ピックリスト | InputType = Basic & 関数 = exportRules | 偽 | SARIF | SARIF、SonarQube | 出力する規則記述子ファイルの種類。 これは、[Publish Security Analysis Logs](セキュリティ分析ログの発行) ビルド タスクによって発行された BinSkim ログ フォルダーに含まれます。 |
| ダンプターゲット | ファイルパス | 入力タイプ = 基本 && 関数 = ダンプ | 正しい | $(Build.ArtifactStagingDirectory) | 分析対象となるファイル、ディレクトリ、またはフィルターパターンを指定するための一つ以上の指定子を入力してください。これらの指定子は、1つ以上のバイナリに解決される必要があります。複数の指定子を入力することも可能です。 セミコロン(';')で区切られたリスト | |
| ダンプリカース | ブール型 | 入力タイプ = 基本 && 関数 = ダンプ | 偽 | ほんとう | ファイル指定子引数を評価するときにサブディレクトリに再帰します。 | |
| DumpVerbose | ブール型 | 入力タイプ = 基本 && 関数 = ダンプ | 偽 | ほんとう | 詳細出力を生成します。 結果の包括的なレポートは、コンプライアンス シナリオに適切な証拠が提供されるように設計されています。 | |
| ツールバージョン | ピックリスト | 常時 | 偽 | 最新 | 1.5.0、最新 (Latest)、最新プレリリース (LatestPreRelease) | 実行するツールのバージョン。 |
クレデンシャル スキャナー タスク
| InputType | 種類 | 適用 | 必須 | 既定値 | オプション (候補リストの場合) | 説明 |
|---|---|---|---|---|---|---|
| outputFormat | ピックリスト | 常時 | 偽 | プレ | csv、pre、tsv | Credential Scanner の結果ファイルの出力形式。 |
| ツールバージョン | ピックリスト | 常時 | 偽 | 最新 | 1.27.7、Latest、LatestPreRelease | 実行するツールのバージョン。 |
| フォルダをスキャン | ファイルパス | 常時 | 偽 | $(Build.SourcesDirectory) | 資格情報をスキャンするリポジトリ内のフォルダー。 | |
| 検索者ファイルタイプ | ピックリスト | 常時 | 偽 | 初期設定 | 自カスタム、デフォルト、デフォルトとカスタム | スキャンに使用されるサーチャー ファイルを検索するオプション。 |
| 検索者ファイル | ファイルパス | searchersFileType が Custom と等しい場合、または DefaultAndCustom と等しい場合 | 偽 | Credential Scanner のチェック実行用構成ファイル。 複数の値を含めて使用するには、Credential Scanner サーチャー ファイルのパスのコンマ区切りリストを指定します。 | ||
| 抑制ファイル | ファイルパス | 常時 | 偽 | 出力ログの問題を抑制するために使用する Credential Scanner の抑制ファイル。 | ||
| suppressAsError | ブール型 | 常時 | 偽 | 偽 | 抑制された一致は、既定の抑制された出力ファイル [-O]-suppressed.[-f] ではなく、出力ファイル [-O]-matches.[-f] に出力されます。 既定では「False」です。 | |
| verboseOutput | ブール型 | 常時 | 偽 | 偽 | 冗長な情報を出力します。 | |
| バッチサイズ | ひも | 常時 | 偽 | 資格情報スキャナーの並列実行に使用するコンカレント スレッドの数。 (既定値は 20) 値は 1-2147483647 の範囲内である必要があります。 |
||
| regexMatchTimeoutInSeconds | ひも | 常時 | 偽 | 検索ツールがチェックを中止する前に、照合に費やす時間(秒単位)です。 コマンド ラインに -Co RegexMatchTimeoutInSeconds=<Value> を追加します。 |
||
| fileScanReadBufferSize(ファイルスキャン読み取りバッファサイズ) | ひも | 常時 | 偽 | コンテンツの読み取り中のバッファー サイズ (バイト単位)。 既定値は 524288 です。 コマンド ラインに -Co FileScanReadBufferSize=<Value> を追加します。 |
||
| 最大ファイルスキャン読み取りバイト数 | ひも | 常時 | 偽 | コンテンツの分析中に指定したファイルから読み取る最大バイト数。 既定値は 104,857,600 です。 コマンド ラインに -Co MaxFileScanReadBytes=<Value> を追加します。 |
Roslyn Analyzers タスク
| InputType | 種類 | 適用 | 必須 | 既定値 | オプション (候補リストの場合) | 説明 |
|---|---|---|---|---|---|---|
| ユーザーがビルド情報を提供 | ピックリスト | 常時 | 正しい | 自動 | auto、msBuildInfo | Roslyn 分析用の MSBuild バージョン、MSBuild アーキテクチャ、およびビルド コマンド ラインを指定するユーザー向けのオプション。 [自動] が選択されている場合、このタスクは、同じパイプライン内の以前の MSBuild、VSBuild、または .NET Core (ビルド用) タスクからビルド情報を取得します。 |
| msBuildVersion | ピックリスト | userProvideBuildInfo == msBuildInfo | 正しい | 16.0 | 15.0、16.0 | MSBuild のバージョン。 |
| msBuildArchitecture | ピックリスト | userProvideBuildInfo == msBuildInfo | 正しい | x86 | DotNetCore、x64、x86 | MSBuild アーキテクチャ。 注: ビルド コマンド ラインが dotnet.exe ビルド を呼び出す場合、.NET Core 経由 オプションを選択してください。 |
| msBuildCommandline | ひも | userProvideBuildInfo == msBuildInfo | 正しい | ソリューションまたはプロジェクトをコンパイルするための完全なビルド コマンドライン。 注: コマンド ラインは、 MSBuild.exe または dotnet.exeへの完全なパスで始まる必要があります。 コマンドは、作業ディレクトリとして $(Build.SourcesDirectory) を使用して実行されます。 |
||
| rulesetName | ピックリスト | 常時 | 偽 | 推奨 | カスタム、なし、推奨、必須 | 使用する名前付きルールセット。Ruleset Configured In Your Visual Studio Project File(s) を選択した場合は、VS プロジェクト ファイルで事前に構成されたルールセットが使用されます。
Custom を選択した場合は、カスタム ルールセットのパス オプションを設定できます。 |
| rulesetVersion | ピックリスト | rulesetName == 必須 または rulesetName == 推奨 | 偽 | 最新 | 8.0、8.1、8.2、最新、最新プリリリース | 選択した SDL ルールセットのバージョン。 |
| カスタムルールセット | ひも | rulesetName = カスタム | 偽 | 使用するルールセットへのアクセス可能なパス。 相対パスは、ソース リポジトリ ($(Build.SourcesDirectory)) のルートに正規化されます。Rules が Actions に設定された Error をルールセットで指定すると、ビルド タスクは失敗します。 これを行うルールセットを使用するには、ビルド タスクの Continue on error で Control Options をオンにしてください。 |
||
| microsoftAnalyzersVersion | ピックリスト | 常時 | 偽 | 最新 | 2.9.3、2.9.4、2.9.6、最新、最新プレリリース | 実行する Microsoft.CodeAnalysis.FxCopAnalyzers パッケージの バージョン。 |
| コンパイラ警告抑制ファイル | ファイルパス | 常時 | 偽 | C# および VB コンパイラの警告を抑制する抑制ファイル。 各警告 ID が個別の行に記載されたプレーンテキスト ファイル。 コンパイラの警告について、警告 ID の数値部分のみを指定します。 たとえば、1018 を指定すると CS1018 が抑制され、CA1501 を指定すると CA1501 が抑制されます。 相対ファイル パスは、ソース リポジトリ ( $(Build.SourcesDirectory)) のルートに追加されます。 |
TSLint タスク
| InputType | 種類 | 適用 | 必須 | 既定値 | オプション (候補リストの場合) | 説明 |
|---|---|---|---|---|---|---|
| ルールライブラリー | ピックリスト | 常時 | 正しい | tslint | custom、microsoft、tslint | すべての結果には、選択したバージョンの TSLint (基本のみ) に付属するルールが含まれます。 基本のみ - TSLint に付属しているルールのみ。 Microsoft ルールを含める -tslint-microsoft-contrib をダウンロードし、TSLint 実行で使用できる規則が含まれています。 このオプションを選択すると、Microsoft のルールに必須であり、自動的に使用されるため、 Type Checking チェックボックスが非表示になります。 また、Microsoft Contribution Version フィールドも非表示になり、tslint-microsoft-contrib から のバージョンを選択できるようになります。カスタム ルールを含める - Rules Directory フィールドを再表示します。このフィールドは、TSLint 実行で使用できる TSLint ルールのディレクトリへのアクセス可能なパスを受け入れます。手記: 多くのユーザーが Microsoft ルールセットの構成で問題が発生するため、既定値は tslint に変更されました。 特定のバージョンの構成については、 GitHub の tslint-microsoft-contrib を参照してください。 |
| ルールディレクトリ | ひも | ルールライブラリ == カスタム | 正しい | TSLint の実行に使用できる追加の TSLint ルールを含むアクセス可能なディレクトリ。 | ||
| ルールセット | ピックリスト | RuleLibrary != microsoft | 正しい | 推奨設定 | カスタム、最新バージョン、推奨設定 | TypeScript ファイルに対して実行するルールを定義します。 tslint:latest - tslint:recommendedを拡張し、TSLint リリースごとに最新の規則の構成を含むように継続的に更新されます。 この構成を使用すると、新しいルールが有効になり、コード内で lint エラーが発生するため、マイナー リリース間で破壊的変更が生じる場合があります。 TSLint がメジャーバージョンの更新に達すると、tslint:recommended は tslint:latest と同じになるように更新されます。tslint:recommended - TSLint が一般的な TypeScript プログラミングを推奨する、安定した、やや意見が分かれた規則のセット。 この構成は semverに従うので、マイナー リリースまたはパッチ リリース全体で破壊的変更は行 われません 。 |
| ルールセットMicrosoft | ピックリスト | RuleLibrary == microsoft | 正しい | MS SDL 対応が必要です | custom、msrecommended、mssdlrecommended、mssdlrequired、tslatest、tsrecommended | TypeScript ファイルに対して実行するルールを定義します。 microsoft:sdl-required -必要なセキュリティ開発ライフサイクル (SDL) ポリシーを満たす tslint および tslint-microsoft-contrib 規則によって提供されるすべての利用可能なチェックを実行します。 microsoft:sdl-recommended -必要かつ推奨されるセキュリティ開発ライフサイクル (SDL) ポリシーを満たす tslint および tslint-microsoft-contrib 規則によって提供されるすべての利用可能なチェックを実行します。 microsoft:recommended tslint-microsoft-contrib ルールの作成者が推奨するすべてのチェック。 これには、セキュリティ チェックとセキュリティ以外のチェックが含まれます。 tslint:latest - tslint:recommendedを拡張し、TSLint リリースごとに最新の規則の構成を含むように継続的に更新されます。 この構成を使用すると、新しいルールが有効になり、コード内で lint エラーが発生するため、マイナー リリース間で破壊的変更が生じる場合があります。 TSLint がメジャーバージョンの更新に達すると、tslint:recommended は tslint:latest と同じになるように更新されます。tslint:recommended - TSLint が一般的な TypeScript プログラミングを推奨する、安定した、やや意見が分かれた規則のセット。 この構成は semverに従うので、マイナー リリースまたはパッチ リリース全体で破壊的変更は行 われません 。 |
| ルールセットファイル | ひも | Ruleset == custom または RulesetMicrosoft == custom | 正しい | 実行する規則を指定する 構成ファイル 。 構成へのパスは、 カスタム 規則のパスとして追加されます。 |
||
| ファイル選択タイプ | ピックリスト | 常時 | 正しい | ファイルグロブ | fileGlob、projectFile | |
| ファイル | ひも | FileSelectionType == fileGlob | 正しい | ***.ts | 処理するファイルを決定するファイル glob 。 パスは、Build.SourcesDirectory 値に対する相対パスです。Microsoft の Contribution ライブラリでは、プロジェクト ファイルを使用する必要があります。 File Glob Pattern オプションを指定して Microsoft の Contribution ライブラリを使用している場合は、プロジェクト ファイルが自動的に生成されます。 |
|
| ECMAScriptVersion | ピックリスト | FileSelectionType == fileGlob && RuleLibrary == microsoft | 正しい | ES3 | ES2015、ES2016、ES2017、ES3、ES5、ES6、ESNext | TypeScript コンパイラを使用して構成された ECMAScript のターゲット バージョン。 プロジェクト ファイルを使用する場合、これは TypeScript tsconfig.json ファイルの compilerOptions.target フィールドです。 |
| プロジェクト | ひも | FileSelectionType == projectFile | 正しい | TSLint を実行する TypeScript ファイルを指定する tsconfig.json ファイルへのパス。 パスは、Build.SourcesDirectory 値に対する相対パスです。 |
||
| タイプチェック | ブール型 | RuleLibrary != microsoft && FileSelectionType == projectFile | 偽 | ほんとう | lint 処理ルールを実行するときにタイプ チェッカーを有効にします。 | |
| ファイルを除外 | ひも | 常時 | 偽 | linting から除外するファイルを示す glob 。 パスは、Build.SourcesDirectory 値に対する相対パスです。 複数の値を指定するには、セミコロンで区切ります。 |
||
| 出力フォーマット | ピックリスト | 常時 | 正しい | JSON | checkstyle、codeFrame、filesList、json、msbuild、pmd、prose、stylish、verbose、vso | 出力の生成に使用する フォーマッタ 。 JSON 形式はポスト分析と互換性があることに注意してください。 |
| ノードメモリ | ひも | 常時 | 偽 | TSLint を実行するためにノードに割り当てられる、MB 単位の明示的なメモリ容量。 例:8000--max_old_space=<value> であるノードの v8 option CLI オプションにマップします。 |
||
| ツールバージョン | ピックリスト | RuleLibrary != microsoft | 正しい | 最新 | 4.0.0、4.0.1、4.0.2、4.1.0、4.1.1、4.2.0、4.3.0、4.3.1、4.4.0、4.4.1、4.4.2、4.5.0、4.5.1、5.0.0、5.1.0、5.2.0、5.3.0、5.3.2、5.4.0、5.4.1、5.4.2、5.4.3、5.5.0、最新 | TSLint の バージョン をダウンロードして実行します。 |
| TypeScriptVersion | ピックリスト | 常時 | 正しい | 最新 | 0.8.0、0.8.1、0.8.2、0.8.3、0.9.0、0.9.1、0.9.5、0.9.7、1.0.0、1.0.1、1.3.0、1.4.1、1.5.3、1.6.2、1.7.3、1.7.5、1.8.0、1.8.10、1.8.2、1.8.5、1.8.6、1.8.7、1.8.9、1.9.0、2.0.0、2.0.10、2.0.2、2.0.3、2.0.6、2.0.7、2.0.8、2.0.9、2.1.1、2.1.4、2.1.5、2.1.6、2.2.0、2.2.1、カスタム、最新 | ダウンロードして使用する TypeScript のバージョン。 手記: これは、コードのコンパイルに使用されるのと同じバージョンの TypeScript である必要があります。 |
| TypeScriptバージョンカスタム | ひも | TypeScriptVersion == カスタム | 正しい | 最新 | ダウンロードして使用する TypeScript のバージョン。 手記: これは、コードのコンパイルに使用されるのと同じバージョンの TypeScript である必要があります。 |
|
| MicrosoftContribのバージョン | ピックリスト | RuleLibrary == microsoft | 最新 | 4.0.0、4.0.1、5.0.0、5.0.1、最新 | ダウンロードして使用する tslint-microsoft-contrib (SDL ルール) のバージョン 手記:tslint-microsoft-contrib 用に選択されたバージョンと互換性のある tslint のバージョンが選択されます。 tslint-microsoft-contrib の更新は、テストの期間が発生するまで、このビルド タスクによってゲートされます。 |
セキュリティ分析ログの公開タスク
| InputType | 種類 | 適用 | 必須 | 既定値 | オプション (候補リストの場合) | 説明 |
|---|---|---|---|---|---|---|
| アーティファクト名 | ひも | 常時 | 正しい | コード分析ログ | 作成する成果物の名前。 | |
| アーティファクトタイプ | ピックリスト | 常時 | 正しい | コンテナー | Container、FilePath | 作成する成果物の型。 |
| TargetPath | ひも | ArtifactType = FilePath | 偽 | \my\share$(Build.DefinitionName) $(Build.BuildNumber) |
ファイルをコピーするための共有フォルダー | |
| AllTools | ブール型 | 常時 | 正しい | ほんとう | すべての Secure Development Tools ビルド タスクによって生成された結果を発行します。 | |
| アンチマルウェア | ブール型 | AllTools = false | 正しい | ほんとう | マルウェア対策ビルド タスクによって生成された結果を発行します。 | |
| BinSkim | ブール型 | AllTools = false | 正しい | ほんとう | BinSkim ビルド タスクによって生成された結果を発行します。 | |
| CredScan | ブール型 | AllTools = false | 正しい | ほんとう | Credential Scanner ビルド タスクによって生成された結果を発行します。 | |
| RoslynAnalyzers | ブール型 | AllTools = false | 正しい | 偽 | Roslyn アナライザー ビルド タスクによって生成された結果を発行します。 | |
| TSLint | ブール型 | AllTools = false | 正しい | ほんとう | TSLint ビルド タスクによって生成された結果を発行します。 レポートでは、JSON 形式の TSLint ログのみがサポートされていることに注意してください。 別の形式を選択した場合は、それに応じて TSLint ビルド タスクを更新してください。 | |
| ツールログ未検出アクション | 選択リスト | 常時 | 正しい | 標準 | エラー、なし、標準、警告 | 選択したツール (または [All Tools](すべてのツール) がオンの場合はすべてのツール) のログが見つからない場合 (つまりツールが実行されなかった場合) に実行するアクション。 オプション: 何一つ: メッセージは、VSTS 変数 system.debug を true に設定することによってのみアクセス可能な詳細出力ストリームに書き込 まれます。 Standard: (既定値) ツールのログが見つからなかったことを示す標準出力メッセージを書き込みます。 警告: ツールのログが見つからなかったことを示す黄色の警告メッセージを書き込みます。これは、ビルドの概要ページに警告として表示されます。 エラー: 赤いエラー メッセージを書き込み、例外をスローし、ビルドを中断します。 個々のツールを選択し、どのツールが実行されたかを確認するには、このオプションを使用します。 |
セキュリティレポートのタスク
| InputType | 種類 | 適用 | 必須 | 既定値 | オプション (候補リストの場合) | 説明 |
|---|---|---|---|---|---|---|
| VstsConsole | ブール型 | 常時 | 偽 | ほんとう | パイプライン コンソールに結果を書き込みます。 | |
| TsvFile | ブール型 | 常時 | 偽 | ほんとう | 各検索結果に1行を割り当て、結果の情報をタブで区切ったtsvファイル(タブ区切り値ファイル)を生成します。 | |
| HtmlFile | ブール型 | 常時 | 偽 | ほんとう | html レポート ファイルを生成します。 | |
| AllTools | ブール型 | 常時 | 正しい | 偽 | すべての Secure Development Tools ビルド タスクによって生成された結果を報告します。 | |
| BinSkim | ブール型 | AllTools = false | 正しい | 偽 | BinSkim ビルド タスクによって生成されたレポート結果。 | |
| BinSkimBreakOn | ピックリスト | AllTools = true OR BinSkim = true | 正しい | エラー | エラー、警告上 | 報告する結果のレベル。 |
| CredScan | ブール型 | AllTools = false | 正しい | 偽 | Credential Scanner ビルド タスクによって生成された結果を報告します。 | |
| RoslynAnalyzers | ブール型 | AllTools = false | 正しい | 偽 | Roslyn Analyzer ビルド タスクによって生成された結果を報告します。 | |
| RoslynAnalyzersBreakOn | ピックリスト | AllTools = true OR RoslynAnalyzers = true | 正しい | エラー | エラー、警告上 | 報告する結果のレベル。 |
| TSLint | ブール型 | AllTools = false | 正しい | 偽 | TSLint ビルド タスクによって生成された結果を報告します。 レポートでは、JSON 形式の TSLint ログのみがサポートされていることに注意してください。 別の形式を選択した場合は、それに応じて TSLint ビルド タスクを更新してください。 | |
| TSLintBreakOn | ピックリスト | AllTools = true OR TSLint = true | 正しい | エラー | エラー、警告上 | 報告する結果のレベル。 |
| ツールログ未検出アクション | 選択リスト | 常時 | 正しい | 標準 | エラー、なし、標準、警告 | 選択したツール (または [All Tools](すべてのツール) がオンの場合はすべてのツール) のログが見つからない場合 (つまりツールが実行されなかった場合) に実行するアクション。 オプション: 何一つ: メッセージは、VSTS 変数 system.debug を true に設定することによってのみアクセス可能な詳細出力ストリームに書き込 まれます。 Standard: (既定値) ツールのログが見つからなかったことを示す標準出力メッセージを書き込みます。 警告: ツールのログが見つからなかったことを示す黄色の警告メッセージを書き込みます。これは、ビルドの概要ページに警告として表示されます。 エラー: 赤色のエラーメッセージを書き込み、例外を発生させて、ビルドを停止します。 個々のツールを選択し、どのツールが実行されたかを確認するには、このオプションを使用します。 |
| カスタムログフォルダ | ひも | 常時 | 偽 | 分析ツールのログが配置されているベース フォルダー。個々のログ ファイルは、このパス以下の各ツールに従って名付けられたサブフォルダーに配置されます。 |
事後分析タスク
| InputType | 種類 | 適用 | 必須 | 既定値 | オプション (候補リストの場合) | 説明 |
|---|---|---|---|---|---|---|
| AllTools | ブール型 | 常時 | 正しい | 偽 | Microsoft Security Code Analysis ビルド タスクによって問題が検出された場合は、ビルドを中断します。 | |
| BinSkim | ブール型 | AllTools = false | 正しい | 偽 | BinSkim の問題が見つかった場合、選択した [Break On](中断するタイミング) オプションに従ってビルドを中断します。 | |
| BinSkimBreakOn | ピックリスト | AllTools = true OR BinSkim = true | 正しい | エラー | エラー、警告上 | ビルドを失敗させる問題のレベル。 |
| CredScan | ブール型 | AllTools = false | 正しい | 偽 | Credential Scanner の問題が見つかった場合にビルドを中断します。 | |
| RoslynAnalyzers | ブール型 | AllTools = false | 正しい | 偽 | Roslyn アナライザーの問題が見つかった場合は、ビルドを中断します。 | |
| RoslynAnalyzersBreakOn | ピックリスト | AllTools = true OR RoslynAnalyzers = true | 正しい | エラー | エラー、警告上 | ビルドを失敗させる問題のレベル。 |
| TSLint | ブール型 | AllTools = false | 正しい | 偽 | TSLint の何らかの問題が見つかった場合は、ビルドを中断します。 ポスト分析では、JSON 形式の TSLint ログのみがサポートされていることに注意してください。 別の形式を選択した場合は、それに応じて TSLint ビルド タスクを更新してください。 | |
| TSLintBreakOn | ピックリスト | AllTools = true OR TSLint = true | 正しい | エラー | エラー、警告上 | ビルドを失敗させる問題のレベル。 |
| VstsConsole | ブール型 | 常時 | 偽 | ほんとう | パイプライン コンソールに結果を書き込みます。 | |
| ツールログ未検出アクション | 選択リスト | 常時 | 正しい | 標準 | エラー、なし、標準、警告 | 選択したツール (または [All Tools](すべてのツール) がオンの場合はすべてのツール) のログが見つからない場合 (つまりツールが実行されなかった場合) に実行するアクション。 オプション: 何一つ: メッセージは、VSTS 変数 system.debug を true に設定することによってのみアクセス可能な詳細出力ストリームに書き込 まれます。 Standard: (既定値) ツールのログが見つからなかったことを示す標準出力メッセージを書き込みます。 警告: ツールのログが見つからなかったことを示す黄色の警告メッセージを書き込みます。これは、ビルドの概要ページに警告として表示されます。 エラー: 赤いエラー メッセージを書き込み、例外をスローし、ビルドを中断します。 個々のツールを選択し、どのツールが実行されたかを確認するには、このオプションを使用します。 |
次のステップ
セキュリティ コード分析拡張機能と提供されているツールについてさらに質問がある場合は、 FAQ ページを確認してください。