Microsoft Security DevOps para Azure DevOps

Los que ya me conocéis sabéis que siempre ando «enredando» con las extensiones de Azure DevOps y hoy me gustaría hablaros de un par de ellas.

En primer lugar os traigo Microsoft Security DevOps esta extensión añade la posibilidad de añadir a nuestras pipelines de Azure DevOps una tarea de compilación para ejecutar la CLI de Microsoft Security DevOps.

Mas de uno se preguntara: ¿qué es eso de Microsoft Security DevOps CLI? Pues Microsoft Security DevOps (MSDO) es una aplicación de línea de comandos que integra varias herramientas de análisis estático en el ciclo de desarrollo.

Estas son las herramientas que incluye:

NameLanguage
Banditpython
BinSkimbinary – Windows, ELF
ESlintJavaScript
Template AnalyzerInfrastructure-as-code (IaC), ARM templates, Bicep files
TerrascanInfrastructure-as-code (IaC), Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloudformation
Trivycontainer images, file systems, and git repositories

Aqui os dejo un ejemplo «visual» de una pipeline haciendo uso de la extensioón:

Los resultados de este análisis estático de código son expuestos en formato SARIF, os dejo un ejemplo:

Para poder visualizar los resultados de análisis de código estático tal y como os muestro recordar instalar esta otra extensión: SARIF SAST Scans Tab. Nos añade las herramientas para poder visualizarlo de forma sencilla y legible.


Y eso es todo, ¡nos vemos por Azure DevOps!