As informações contidas neste documento se aplicam a versão 6.9.6 do Syhunt Hybrid.

Desde a versão 6.9.6, o Syhunt Community e Hybrid são capazes de se conectar a Azure DevOps Services, Azure DevOps Server ou Team Foundation Server (TFS) e verificar o código-fonte de projetos em busca de vulnerabilidades e fraquezas de segurança nas aplicações.

O novo recurso está disponível através da GUI e CLI do Syhunt para Windows e permite a varredura de projetos TFS e GIT, on-premises e na nuvem. Por padrão, o Syhunt é compatível com os serviços atuais do Azure DevOps, o Azure DevOps Server 2020 e 2019 e com o TFS 2018 até 2015. Se necessário, o Syhunt pode ser configurado para se conectar a versões mais antigas do TFS como as 2013, 2012 e 2010.

Além do suporte ao TFS, o Syhunt oferece integração com o PowerShell que permite que o Syhunt seja facilmente integrado aos ambientes de DevOps.

O suporte à conexão de TFS do Syhunt Community e Hybrid utiliza a ferramenta de exportação desenvolvida pelo Microsoft MVP Neno Loje e livremente disponível em seu site. A ferramenta foi incluída no instalador do Syhunt com sua permissão.

Versões Suportadas

Para varrer projetos hospedados em servidores TFS 2013-2010 apenas: requer que o Microsoft Visual Studio ou Microsoft Team Explorer esteja instalado na mesma máquina.
Para escanear repositórios GIT em vez de apenas repositórios TFS, você precisará baixar e instalar o Git para Windows na mesma máquina.

Analisando projetos

A seguir alguns exemplos de projetos alvos do Azure DevOps / TFS considerados válidos pelo Syhunt:

No último exemplo, Syhunt irá se conectar ao collection em https://dev.azure.com/user e varrer o código no caminho $/projectname.

Varredura via interface gráfica

A partir do Syhunt Hybrid ou Community GUI, conforme exibido no guia rápido do Syhunt Code e na imagem abaixo, depois de clicar no botão Novo Scan (New scan), e selecionar Project URL, e preencher um alvo, você poderá iniciar uma varredura contra um projeto Azure DevOps ou TFS/TFVC, ou um repositório baseado em GIT do Azure DevOps. Através do agendador do Syhunt, você também pode agendar varreduras de código contra URLs de projeto fornecidos durante a configuração.

Suas credenciais do Azure DevOps serão solicitadas antes de se conectar, a menos que você já tenha se autenticado antes.

Por padrão, Syhunt é compatível com os serviços atuais do Azure DevOps Services, Azure DevOps Server 2020 e 2019, e do TFS 2018 até 2015. Opcionalmente, uma versão mais antiga, como 2003 a 2010, pode ser definida na aba Avançada (Advanced), mas conforme explicado antes, isto requer que o Microsoft Visual Studio ou o Microsoft Team Explorer esteja instalado na mesma máquina para que funcione.

Varredura via linha de comandos

Como alternativa, a partir do Syhunt Hybrid ou Community CLI, conforme mostrado abaixo, você pode fazer a varredura de um projeto DevOps ou TFS.

scancode https://dev.azure.com/user/projectname
scancode https://myserver/tfs/projectname
scancode collection:https://dev.azure.com/user$/projectname

Suas credenciais do Azure DevOps serão solicitadas antes de se conectar, a menos que você já tenha se autenticado antes.

Por padrão, Syhunt é compatível com os atuais Azure DevOps Services, Azure DevOps Server 2020 e 2019 e TFS 2018 até 2015. Opcionalmente, conforme mostrado abaixo, você pode especificar uma versão mais antiga do servidor TFS por meio do parâmetro -tfsv.

scancode https://myserver/tfs/projectname -tfsv:2013
scancode https://myserver/tfs/projectname -tfsv:2012
scancode https://myserver/tfs/projectname -tfsv:2010

Mais exemplos de uso de linha de comando e informações podem ser encontrados no guia da CLI do Syhunt.

Integração com Scripts

Hoje, a integração com scripts ou pipeline pode ser implementada por meio de:

• PowerShell, conforme documentado no guia de integração com o PowerShell
• CLI, conforme documentado acima e no guia da CLI.

Para documentação adicional do produto, visite syhunt.com/docs/br