Dela via

Felsöka beroendegenomsökning

  • Artikel

Lär dig hur du felsöker problem med beroendegenomsökning i GitHub Advanced Security för Azure DevOps.

Beroendegenomsökning identifierar inga komponenter

Om beroendegenomsökningsaktiviteten slutförs utan att flagga några komponenter och inte kan generera aviseringar för komponenter med kända säkerhetsrisker kontrollerar du att du vid har ett paketåterställningssteg före AdvancedSecurity-Dependency-Scanning@1 uppgiften.

För ett C#-projekt (.NET Core) finns till exempel ett YAML-exempelfragment:

- task: DotNetCoreCLI@2
  displayName: 'Restore NuGet packages'
  inputs:
    command: 'restore'
    projects: '**/*.csproj'

    # If you are using a private package feed such as Azure Artifacts, you will need additional variables.
    # For more information, see https://zcusa.951200.xyz/en-us/azure/devops/pipelines/tasks/reference/dotnet-core-cli-v2?view=azure-pipelines 
    feedsToUse: 'select'
    ...

- task: AdvancedSecurity-Dependency-Scanning@1

För ett JavaScript-projekt är här ett YAML-exempelfragment:

- task: Npm@1
  displayName: 'npm install'
  inputs:
    command: 'install'
    workingDir: '$(System.DefaultWorkingDirectory)'

- task: AdvancedSecurity-Dependency-Scanning@1

Tidsgräns för beroendegenomsökning av aktivitet

Standardtiden som beroendegenomsökningsaktiviteten körs innan tidsgränsen är 300 sekunder eller 5 minuter. Om aktiviteten är tidsgränsen ut innan slutförandet kan du ange en pipelinevariabel DependencyScanning.Timeout, som förväntar sig ett heltal som DependencyScanning.Timeout: 600representerar sekunder, till exempel . Allt under standardtidsgränsen på 300 sekunder har ingen effekt.

Om du vill använda den här variabeln lägger du till DependencyScanning.Timeout som en pipelinevariabel:

- task: AdvancedSecurity-Dependency-Scanning@1
  env:
    DependencyScanning.Timeout: 600

Break-glass-scenario för byggaktivitet

Om versionsuppgiften för beroendegenomsökning blockerar en lyckad körning av pipelinen och du snabbt behöver hoppa över byggaktiviteten kan du ange en pipelinevariabel DependencyScanning.Skip: true.

Behörigheter för aktivitetsgenomsökning av beroenden

Versionsuppgiften för beroendegenomsökning använder pipelineidentiteten för att anropa REST-API:erna för avancerad säkerhet. Som standard har pipelines i samma projekt åtkomst till att hämta aviseringar. Om du tar bort dessa behörigheter från byggtjänstkontot eller om du har en anpassad konfiguration (till exempel en pipeline som finns i ett annat projekt än lagringsplatsen) måste du bevilja dessa behörigheter manuellt.

Bevilja Advanced Security: View Alerts behörighet till det byggtjänstkonto som används i din pipeline, som för pipelines med projektomfattning är [Project Name] Build Service ([Organization Name]), och för pipelines med samlingsomfång är Project Collection Build Service ([Organization Name]).