Identifier des failles de sécurité avant même de pousser son code dans Azure DevOps
Nombre de développeurs utilisent des builds afin d’anticiper de potentielles failles de sécurité. Je ne suis pas franchement fan de ce genre d’approche. Soit la build interdit le commit ou le merge, soit les développeurs doivent consulter les rapports de builds. De plus, si la build est longue cela peut pénaliser les développeurs.
Pour les développeurs .net, il existe une solution simple, rapide et efficace. Il suffit d’utiliser Code Analysis avec Security Code Scan. Après installation du package Nuget de Security Code Scan, Visual Studio vous avertira du moindre problème de sécurité (code potentiellement dangereux, mauvaises pratiques, etc).
Security Code Scan peut être utilisé via une build Azure Pipeline ou en ligne de commande. Je préfère cependant l’utiliser via Nuget. Cela me permet d’identifier une faille de sécurité avant même d’avoir fini l’édition de mon code. Je ne risque donc pas de pousser un code faillible.