Azure DevOps Blog
·
使用高级安全性自动化您的开源依赖扫描
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
GitHub Advanced Security简化了Azure DevOps的依赖扫描设置,用户可自动将扫描任务注入默认分支的管道中,确保生产代码安全。具备管理权限后,可在管道运行中获取扫描结果,并在拉取请求中显示新发现的漏洞。
🎯
关键要点
- GitHub Advanced Security简化了Azure DevOps的依赖扫描设置,便于企业启用功能。
- 用户可以自动将依赖扫描任务注入默认分支的管道中,以确保生产代码的安全性。
- 需要具备管理权限才能更改仓库的高级安全设置。
- 在管道运行中,依赖扫描任务将在管道结束时注入,并在几分钟内完成评估。
- 如果管道中已存在该任务或设置为跳过,则注入的任务将被跳过。
- 成功执行后,扫描结果将上传至高级安全,并可在Repos > Advanced Security标签中查看。
- 依赖扫描还可以自动在拉取请求中注入注释,帮助开发者修复发现的问题。
- 团队正在努力改善高级安全的启用过程,欢迎用户反馈。
❓
延伸问答
如何在Azure DevOps中启用依赖扫描功能?
需要具备管理权限,进入项目设置,选择仓库并启用高级安全设置中的依赖扫描选项。
依赖扫描任务如何自动注入到管道中?
依赖扫描任务会在管道运行结束时自动注入,确保针对默认分支的代码进行评估。
依赖扫描的结果在哪里查看?
扫描结果会上传至高级安全,并可在Repos > Advanced Security标签中查看。
如果管道中已存在依赖扫描任务会发生什么?
如果任务已存在或设置为跳过,则注入的任务将被跳过,不会重复执行。
如何在拉取请求中使用依赖扫描注释?
依赖扫描会自动在拉取请求中注入注释,帮助开发者修复发现的问题。
团队对高级安全功能的改进有什么计划?
团队正在努力改善高级安全的启用过程,并欢迎用户反馈以优化体验。
➡️
