Visualización de los resultados del examen de código de proveedores de terceros en Azure DevOps
A medida que continuamos nuestra integración con GitHub Advanced Security, nos complace anunciar que ahora puede aprovechar la tarea de publicación (AdvancedSecurity-Publish@1) para importar los resultados de seguridad de proveedores de terceros en el centro de alertas de análisis de código de seguridad avanzada.
Consulte las notas de la versión para obtener más información.
General
GitHub Advanced Security para Azure DevOps
- Información general de seguridad: vínculos a las alertas del repositorio
- Tarea de publicación para la integración con proveedores de terceros
Azure Pipelines
- MacOS-14 Versión preliminar de Sonoma y retirada de macOS-11
- Nodo 10 quitado de canalizaciones:* Paquetes del agente
General
Mejora de los resultados de búsqueda con prefijos comodín y subcadenas
Nos complace anunciar nuestra nueva característica de búsqueda, que ahora admite comodín como búsquedas de prefijo y subcadena en código, elementos de trabajo, wiki y paquetes. Al agregar un carácter comodín al principio y al final del término de búsqueda, puede encontrar todas las cadenas pertinentes que contengan el término. Por ejemplo, al escribir "Test" en el cuadro de búsqueda se obtienen resultados como "mytestclass", "improvecodewithtest" y "test_wikiarticle". Esta característica se implementa en las próximas semanas.
GitHub Advanced Security para Azure DevOps
Información general de seguridad: vínculos a las alertas del repositorio
La página de riesgo de información general de seguridad ahora vincula directamente a la página de alertas de seguridad avanzada individuales de cada repositorio. De forma similar a la página de cobertura, para un repositorio determinado, mantenga el puntero sobre la fila y haga clic en el icono del lado derecho de la fila para navegar directamente a la página de alertas.
Tarea de publicación para la integración con proveedores de terceros
La tarea AdvancedSecurity-Publish@1 permite recuperar fácilmente los resultados de proveedores de terceros, lo que mejora la integración con la seguridad avanzada de GitHub para AzureDevOps. Estos proveedores pueden incluir tareas de canalización de análisis de seguridad comercial y de código abierto que generan resultados en el formato SARIF conforme. Al aprovechar esto, ahora puede ver los resultados en el centro de alertas de análisis de código de Advanced Security, lo que proporciona una vista unificada de las alertas de seguridad de código de las herramientas de análisis admitidas actualmente directamente en Azure DevOps. Esta integración admite SARIF 2.1, que ofrece una visión general completa de su posición de seguridad.
Para obtener instrucciones detalladas sobre cómo configurar el examen de código en GitHub Advanced Security con Azure DevOps, consulte Configuración del examen de código.
Azure Pipelines
MacOS-14 Versión preliminar de Sonoma y retirada de macOS-11
La imagen de macOS-14 ya está disponible en versión preliminar para los agentes hospedados de Azure Pipelines. Para usar esta imagen, actualice el archivo YAML para incluir vmImage:'macos-14':
- job: macOS14
pool:
vmImage: 'macOS-14'
steps:
- bash: |
echo Hello from macOS Sonoma Preview
sw_vers
Para el software instalado macOS-14, consulte Configuración de imágenes.
La macOS-12 imagen se seguirá usando al especificar macOS-latest. Una vez macOS-14 que esté disponible con carácter general, macOS-latest migrará directamente a macOS-14. La macOS-latest etiqueta omitirá macOS-13.
La imagen de macOS-11 está en desuso y se retirará en junio de 2024.
Nodo 10 quitado de canalizaciones:* Paquetes del agente
Nuestros agentes admiten tareas implementadas en PowerShell o Node. El agente se distribuye con varias versiones de Node que admiten distintos requisitos de tareas.
A medida que se publican nuevas versiones de Node, las tareas se actualizan para usar estas versiones más recientes de Node. Los entornos de ejecución necesarios se incluyen con el agente.
Sin embargo, a medida que los nodos más antiguos salen de su ventana de mantenimiento, algunas tareas de canalizaciones podrían seguir dependiendo de ellos. Azure DevOps actualiza las tareas admitidas en una versión de Node que todavía se admite, aunque es posible que las tareas de terceros requieran que se ejecuten versiones anteriores.
Para administrar esto, tenemos dos paquetes de agentes de canalización:
| Paquetes | Versiones de nodo | Descripción |
|---|---|---|
vsts-agent-* |
6, 10, 16, 20 | Incluye todas las versiones de Node que se pueden usar como controlador de ejecución de tareas |
pipelines-agents-* |
16, 20 | Incluye solo las versiones recientes de Node. El objetivo de estos paquetes es no incluir ninguna versión de fin de ciclo de vida de Node. |
Si desea ejecutar una tarea que requiera el controlador de ejecución de Node 10 en un agente que no tenga el nodo 10 agrupado, puede instalar el controlador de ejecución insertando la tarea NodeTaskRunnerInstaller@0 en la canalización:
steps:
- task: NodeTaskRunnerInstaller@0
inputs:
runnerVersion: 10
Pasos siguientes
Nota:
Estas características se implementarán en las próximas dos a tres semanas.
Vaya a Azure DevOps y eche un vistazo.
Cómo enviar sus comentarios
Nos encantaría escuchar lo que piensas sobre estas características. Use el menú de ayuda para notificar un problema o proporcionar una sugerencia.
También puede obtener consejos y sus preguntas respondidas por la comunidad en Stack Overflow.
Gracias,
Silviu Andrica