الأسئلة الشائعة حول أمان DevOps

عند تحديد الزر تخويل ، يتم استخدام الحساب الذي قمت بتسجيل الدخول به. يمكن أن يكون لهذا الحساب نفس البريد الإلكتروني ولكن قد يكون له مستأجر مختلف. تأكد من تحديد مجموعة الحساب/المستأجر المناسبة في شاشة الموافقة المنبثقة وVisual Studio.

يمكنك التحقق من الحساب الذي تم تسجيل الدخول إليه.

يدعم إلحاق أمان Defender for Cloud DevOps فقط نوع TfsGitالمستودع . نوع TFSVC المستودع غير مدعوم اليوم.

تأكد من إلحاق مستودعاتك ب Microsoft Defender for Cloud. إذا كنت لا تزال غير قادر على رؤية المستودع الخاص بك، فتأكد من تسجيل الدخول باستخدام حساب مستخدم مؤسسة Azure DevOps الصحيح. يجب أن يكون اشتراك Azure ومؤسسة Azure DevOps في نفس المستأجر. إذا كان مستخدم الموصل خاطئا، فأنت بحاجة إلى حذف الموصل الذي تم إنشاؤه مسبقا، وتسجيل الدخول باستخدام حساب المستخدم الصحيح وإعادة إنشاء الموصل.

إذا كنت لا ترى ملف SARIF في المسار المتوقع، فربما اخترت مسار إسقاط مختلفا عن CodeAnalysisLogs/msdo.sarif المسار. حاليا يجب عليك إسقاط ملفات SARIF الخاصة بك إلى CodeAnalysisLogs/msdo.sarif.

عند استخدام تكوين البنية الأساسية لبرنامج ربط العمليات التجارية الكلاسيكية، تأكد من عدم تغيير اسم البيانات الاصطناعية. قد يؤدي ذلك إلى عدم رؤية نتائج مشروعك. يمكنك معرفة المزيد حول كيفية مراجعة النتائج.

نوصي بالانتقال إلى جزء DevOps Security للاطلاع على نظرة عامة على وضع أمان DevOps. يمكنك الفرز والتصفية حسب مورد DevOps الذي تهتم به للاطلاع على تفاصيل التوصية.

يمكنك أيضا استخدام مصنف DevOps وتخصيصه لتلبية احتياجاتك.

تتصل ميزات أمان DevOps بنظام إدارة التعليمات البرمجية المصدر، على سبيل المثال، Azure DevOps وGitHub و/أو GitLab لتوفير وحدة تحكم مركزية لموارد DevOps ووضع الأمان. تعالج ميزات أمان DevOps المعلومات التالية وتخزنها:

• بيانات التعريف على أنظمة إدارة التعليمات البرمجية المصدر المتصلة والمستودعات المرتبطة. تتضمن هذه البيانات معلومات المستخدم والتنظيم والمصادقة.

• افحص النتائج بحثا عن التوصيات والتفاصيل.

تعد ميزات أمان DevOps جزءا من Microsoft Defender for Cloud. راجع إرشادات موقع البيانات التالية وتفاصيل حدود بيانات الاتحاد الأوروبي فيما يتعلق بخدمة Microsoft Defender for Cloud.

لا يقوم أمان DevOps بمعالجة أو تخزين التعليمات البرمجية الخاصة بك، والبناء، وسجلات التدقيق اليوم، ولكن قد يقوم في المستقبل بتوسيع قدراته.

تعرف على المزيد حول بيان خصوصية Microsoft.

هذه الأذونات مطلوبة لبعض ميزات أمان DevOps، مثل التعليقات التوضيحية لطلب السحب، للعمل.

لا تتوفر الإعفاءات لتوصيات أمان DevOps داخل Microsoft Defender for Cloud في الوقت الحالي.

تأكد من أن الموصلات الخاصة بك مصرح بها بشكل صحيح.

تأكد من استخدام معرف الاشتراك نفسه ل GHAzDO وDefender for Cloud. إذا كنت لا تزال غير قادر على رؤية النتائج، فقد تكون المشكلة ناتجة عن موصل ADO الذي يفتقر إلى النطاق الضروري. قدم أمان DevOps نطاقات جديدة لموصلات Azure DevOps في يونيو. إذا قمت بإنشاء الموصل قبل يونيو ولم تقم بتحديثه، فلن تتمكن من رؤية نتائج GHAzDO بسبب النطاق المفقود على الموصل. ستحتاج إلى إنشاء موصل ADO جديد، والذي سيتضمن النطاقات الجديدة تلقائيا.

تأكد من أن أذونات المستخدم ل Microsoft Defender for DevOps قد تم Advanced Security: view alerts تعيينها إلى AllowRead . قد تكون هذه الأذونات قد تغيرت إذا تم إيقاف تشغيل تبديل "التوريث". إذا تم تعيين الأذونات الضرورية إلى Not set أو Deny، فستحتاج إلى تحديثها يدويا إلى Allow وإلا فلن تظهر نتائج GHAzDO في توصيات Defender for Cloud.

حاليا، يحدث الفحص في وقت الإنشاء.

تأكد من أن لديك حق الوصول للكتابة (المالك/المساهم) إلى الاشتراك. إذا لم يكن لديك هذا النوع من الوصول اليوم، يمكنك الحصول عليه من خلال تنشيط دور Microsoft Entra في PIM.

تدعم ميزات أمان DevOps اللغات التالية:

• Python
• JavaScript
• TypeScript

للحصول على قائمة باللغات التي يدعمها GitHub Advanced Security، راجع هنا.

على سبيل المثال، هل يمكنني ترحيل الموصل من منطقة وسط الولايات المتحدة إلى منطقة غرب أوروبا؟

لا ندعم الترحيل التلقائي لموصلات أمان DevOps من منطقة إلى أخرى في الوقت الحالي.

إذا كنت تريد نقل موقع موصل DevOps إلى منطقة مختلفة، فإن التوصية هي حذف الموصل الموجود ثم إعادة إنشاء الموصل في المنطقة الجديدة.

نعم، استدعاءات واجهة برمجة التطبيقات التي أجراها Defender for Cloud مقابل حد الاستهلاك العالمي ل Azure DevOps. يقوم Defender for Cloud بإجراء مكالمات نيابة عن المستخدم الذي يقوم بإلحاق الموصل.

إذا كانت قائمة مؤسستك فارغة في واجهة المستخدم بعد إلحاق موصل Azure DevOps، فستحتاج إلى التأكد من أن المؤسسة في Azure DevOps متصلة بمستأجر Azure الذي يحتوي على المستخدم الذي قام بمصادقة الموصل.

للحصول على معلومات حول كيفية تصحيح هذه المشكلة، راجع دليل إطلاق النار على مشكلة DevOps.

نعم، لا يوجد حد لعدد مستودعات Azure DevOps التي يمكنك إلحاقها لقدرات أمان DevOps.

ومع ذلك، هناك تأثيران رئيسيان عند إلحاق المؤسسات الكبيرة - السرعة والتقييد. يتم تحديد سرعة اكتشاف مستودعات DevOps الخاصة بك من خلال عدد المشاريع لكل موصل (حوالي 100 مشروع في الساعة). يمكن أن يحدث التقييد لأن استدعاءات Azure DevOps API لها حد معدل عمومي ونحد من استدعاءات اكتشاف المشروع لاستخدام جزء صغير من حدود الحصة الإجمالية.

ضع في اعتبارك استخدام هوية Azure DevOps بديلة (أي حساب منظم مسؤول istrator يستخدم كحساب خدمة) لتجنب تقييد الحسابات الفردية عند إلحاق المؤسسات الكبيرة. فيما يلي بعض سيناريوهات وقت استخدام هوية بديلة لإلحاق موصل أمان DevOps:

• عدد كبير من مؤسسات ومشاريع Azure DevOps (~500 مشروع أو أكثر).
• عدد كبير من الإصدارات المتزامنة التي تبلغ ذروتها خلال ساعات العمل.
• المستخدم المعتمد هو مستخدم Power Platform يقوم بإجراء استدعاءات Azure DevOps API إضافية، باستخدام الحصص النسبية لحد المعدل العمومي.

بمجرد إلحاق مستودعات Azure DevOps باستخدام هذا الحساب وتكوين وتشغيل ملحق Microsoft Security DevOps Azure DevOps في البنية الأساسية لبرنامج ربط العمليات التجارية CI/CD، ستظهر نتائج الفحص بالقرب من فورا في Microsoft Defender for Cloud.

الخطوات التالية

تعرف على المزيد حول أمان DevOps