DEV Community

Cover image for Veracode & AzDevOps: Trabalhando com Task Groups
M3Corp profile image Ivo Dias
Ivo Dias for M3Corp

Posted on

2

Veracode & AzDevOps: Trabalhando com Task Groups

#veracode #azure #security #devops

O recurso de Task Groups pode ser muito útil para agilizar implementações. Nossa ideia com esse artigo é trabalhar com dois já prontos, para os cenários onde temos Frontends em JavaScript e Backends em .NET.
Sempre recomendamos a leitura do guia de empacotamento e do nosso GitHub com exemplos, para otimizar o processo e modifica-lo caso tenha uma necessidade diferente da que temos nesse exemplo.

Importando os TGs
Em nosso REPO, já temos os dois modelos que vamos utilizar prontos:

O fluxo deles vai ser bem parecido:

  1. Criar o pacote dos arquivos para analise
  2. Iniciar o scan com o Wrapper
  3. Fazer a analise SCA e retornar os resultados para o Pipeline
  4. Fazer a analise SAST e retornar os resultados para o Pipeline

A principal diferença é que no caso do .NET vamos empacotar apenas as DLLs e PDBs, conforme o guia de empacotamento.

Um outro ponto principal é que vamos ter as versões PRD e SB:
PRD -> Usamos sempre que é o scan do que vai subir para produção
SB -> Para todos os outros casos

Por exemplo, caso eu tenha três ambientes (DEV, HML e PRD) organizados em pipelines distintos, eu vou utilizar o TG de PRD para o respectivo e o SB para DEV e HML. Com isso, nossos resultados na plataforma vão ficar organizados.

Parâmetros dos TGs
Nos dois modelos de TGs, vamos ter em comum as seguintes variáveis:

Para os TGs de Sandbox (SB), vamos ter uma extra:

  • nomeAmbiente -> Onde colocamos o nome do ambiente (DEV, QA, HML..)

Você pode deixar as variáveis já definidas no próprio TG (por padrão a de caminhoPacote já vem) ou gerar um grupo de variáveis para alimenta-las.

Como utilizar?
Importe os TGs para o seu ambiente do Azure conforme a documentação da Microsoft, depois em seu pipeline, busque por ele como se fosse uma Task.

Esses TGs de modelo foram criados para Linux/Mac, mas é possível utiliza-los em Windows com pequenas modificações.

profile
Sentry
 Promoted

Sentry image

See why 4M developers consider Sentry, “not bad.”

Fixing code doesn’t have to be the worst part of your day. Learn how Sentry can help.

Learn more

Top comments (0)

profile
DreamFactory
 Promoted

Billboard image

Try REST API Generation for Snowflake

DevOps for Private APIs. Automate the building, securing, and documenting of internal/private REST APIs with built-in enterprise security on bare-metal, VMs, or containers.

  • Auto-generated live APIs mapped from Snowflake database schema
  • Interactive Swagger API documentation
  • Scripting engine to customize your API
  • Built-in role-based access control

Learn more

Read next

zhukmax profile image

Setting Up a New Rust Project with ⚙️ Cargo

Max Zhuk -

jajera profile image

How to Configure GitHub Authentication Using SSH Certificates

John Ajera -

imsushant12 profile image

Interview Questions on AWS Networking: VPC, Subnets, and Security Groups

Sushant Gaurav -

under2wenty profile image

Efficient Scaling: An Introduction to Virtual Machine Scale Sets (VMSS

Precious Oladele -

👋 Kindness is contagious

Please leave a ❤️ or a friendly comment on this post if you found it helpful!

Okay