Azure DevOps Server：集成奇安信代码卫士（Code Safe）

1. 概述

奇安信代码卫士是奇安信公司推出的一款静态代码分析工具，主要用于在软件开发过程中检测代码中的安全漏洞、质量问题和合规性风险。它可以识别代码中的安全漏洞，如SQL注入、XSS、缓冲区溢出，还可以检查代码规范性、复杂度、重复率等，提升代码可维护性。
在软件开发过程中，我们集成Azure DevOps Server和奇安信代码卫士，可以在持续集成过程中实现自动检测代码质量，以此提升软件版本的质量和安全性。
本文主要介绍集成Azure DevOps Server和奇安信代码卫士的方法，并在持续集成的实践中应用这个产品。

2. 实现方法

2.1 安装插件

为了实现Azure DevOps Server和奇安信开源卫士的集成，奇安信公司开发了一款Azure DevOps Server扩展插件，名称为“QAX Code Safe”
由于奇安信开源卫士是一款收费软件，我们需要从奇安信公司获取到这个插件的安装介质，如下图：

这个插件的安装介质大约有10MB左右，非常轻便；单安装完成插件后，我们可以在Azure DevOps Server中看到插件的详细介绍：

2.2 创建服务连接

首先，我们需要在奇安信代码卫士服务器中创建一个用于扫描的项目，这里我们映射为对应的信息系统
其次，我们还需要在奇安信代码卫士服务器中创建一个用于连接服务器的账户，如下图：

当上述条件就绪后，我们就可以在Azure DevOps Serve中配置服务连接了。

2.3 配置流水线

我们创建一条专门用于代码扫描的流水线，实现在软件版本发布过程中的自动扫描；对于不同的系统，奇安信代码卫士的扫描用时可能不一样，有些复杂且庞大的系统，可能需要将近20分钟甚至更长时间，因此在Azure DevOps Server中配置代码的代码扫描任务，其实是一个并行的任务；就是说Azure DevOps Server的流水线负责发起扫描后，就算完成的自己的任务；等代码卫士在自己的服务器中完成自己的扫描任务后，会自动生产扫描结果；我们可以通过代码卫士提供的接口，获取扫描的进度和结果。

单流水线运行成功后，我们可以在流水线的运行记录中看到代码卫士的扫描过程和结果

当扫描结束后，我们也可以在代码卫士服务器中查询到对应的详细结果；如果使用代码卫士提供的接口，我们还可以将结果、扫描报告等数据提取到第三方平台

https://www.cnblogs.com/danzhang
Azure DevOps MVP 张洪君