security code scan

公式リリースは、Nugetパッケージ、Visual Studio Extension、Stand-Aloneランナーとして利用できます。

 git clone https://github.com/security-code-scan/security-code-scan.git
cd security-code-scan

Visual StudioでSecurityCodeScan.slnを開くか、コマンドラインからビルドします。

 nuget restore SecurityCodeScan.sln
msbuild SecurityCodeScan.sln

• 公式サイトからのすべてのドキュメントはオープンソースで、Webサイトフォルダーにあります。マークダウンファイルを自由に変更して貢献してください。
• externalConfigurationFilesセクションで説明されているように、ローカル構成ファイルを作成して、セキュリティコードスキャンの動作をカスタマイズできます。警告をトリガーし、信頼できないソースを定義するなど、新しい脆弱な関数（シンク）を追加するのは簡単です。動作中のファイルがあると思われると、メインの組み込み構成ファイルに変更を提供することを歓迎します。理想的には、プルリクエストには、変更をカバーするテストが付属しています。
• 利用可能な問題のリストを確認します。ロスリンの一般的な理解は便利かもしれません：
  • Roslynを使用して、APIのライブコードアナライザーを作成します
  • Roslyn Analyzersを始めましょう
  • ジョシュ・ヴァルティの「今すぐ学ぶロスリン」
  • オンライン構文ツリービジュアライザー

ほとんどのテストは、C＃とVB.NETの2つの言語で記述されています。 VB.NETの専門家でない場合（私も）オンラインコンバーターを使用して、テストされたC＃コードの例からVB.NETの対応物を作成します。
テストは、デバッグが簡単なため、機能の開発やバグの修正に最適です。

何が間違っているのかわからない場合、または例外を除いてAD0001エラーが表示される場合、問題のあるVisual Studioソリューションの分析をデバッグすることができます。

Visual Studioオフロードいくつかの静的分析作業は、別のプロセスに動作します。子どものプロセスをデバッグする機会を得るために、ラインを除外することをお勧めします。

まず、干渉を避けるために、セキュリティコードスキャンVisual Studio拡張機能がインストールされていないことを確認してください。
SecurityCodeScan.Vsixプロジェクトをソリューションで右クリックし、 Set as StartUp projectを選択します。
Visual Studioでデバッグを開始します。デバッガーが添付されたビジュアルスタジオの別のインスタンスを開きます。
問題のあるソースでソリューションを開きます。