Konfigurace akce GitHubu Microsoft Security DevOps

Microsoft Security DevOps je aplikace příkazového řádku, která integruje nástroje statické analýzy do životního cyklu vývoje. Security DevOps instaluje, konfiguruje a spouští nejnovější verze nástrojů pro statickou analýzu, jako jsou SDL, nástroje zabezpečení a dodržování předpisů. Zabezpečení DevOps je řízeno daty pomocí přenosných konfigurací, které umožňují deterministické spouštění napříč několika prostředími.

Microsoft Security DevOps používá následující open source nástroje:

Název	Jazyk	Licence
Antimalware	AntiMalwarová ochrana ve Windows z programu Microsoft Defender for Endpoint, která vyhledá malware a přeruší sestavení, pokud byl nalezen malware. Tento nástroj ve výchozím nastavení prohledává agenta windows-latest.	Není open source
Bandita	Python	Apache License 2.0
BinSkim	Binary--Windows, ELF	Licence MIT
Checkov	Terraform, Terraform plan, CloudFormation, AWS SAM, Kubernetes, Helm charts, Kustomize, Dockerfile, Serverless, Bicep, OpenAPI, ARM	Apache License 2.0
ESlint	JavaScript	Licence MIT
Analyzátor šablon	Šablona ARM, Bicep	Licence MIT
Terrascan	Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation	Apache License 2.0
Trivy	image kontejnerů, infrastruktura jako kód (IaC)	Apache License 2.0

Požadavky

• Předplatné Azure Pokud nemáte předplatné Azure, vytvořte si před zahájením bezplatný účet .

• Připojení úložiště GitHub.

• Postupujte podle pokynů a nastavte GitHub Advanced Security , abyste mohli zobrazit hodnocení stavu DevOps v defenderu pro cloud.

• Otevřete akci GitHubu Microsoft Security DevOps v novém okně.

• Ujistěte se, že jsou oprávnění pracovního postupu nastavená na čtení a zápis v úložišti GitHub. To zahrnuje nastavení oprávnění id-token: zápis v pracovním postupu GitHubu pro federaci s defenderem pro cloud.

Konfigurace akce GitHubu Microsoft Security DevOps

Nastavení akce GitHubu:

1. Přihlaste se na GitHub.

2. Vyberte úložiště, na které chcete nakonfigurovat akci GitHubu.

3. Vyberte Akce.

   

4. Vyberte Nový pracovní postup.

5. Na stránce Začínáme s GitHub Actions vyberte nastavit pracovní postup sami.

   

6. Do textového pole zadejte název souboru pracovního postupu. Například msdevopssec.yml.

   

7. Zkopírujte následující ukázkový pracovní postup akce a vložte ho na kartu Upravit nový soubor.

   name: MSDO
   on:
     push:
       branches:
         - master
   
   jobs:
     sample:
       name: Microsoft Security DevOps
   
       # MSDO runs on windows-latest.
       # ubuntu-latest also supported
       runs-on: windows-latest
   
       permissions:
         contents: read
         id-token: write
         actions: read
         security-events: write
   
       steps:
   
         # Checkout your code repository to scan
       - uses: actions/checkout@v3
   
         # Run analyzers
       - name: Run Microsoft Security DevOps Analysis
         uses: microsoft/security-devops-action@latest
         id: msdo
       # with:
         # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig').
         # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub.
         # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all.
         # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all.
         # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'.
   
         # Upload alerts to the Security tab
       - name: Upload alerts to Security tab
         uses: github/codeql-action/upload-sarif@v2
         with:
           sarif_file: ${{ steps.msdo.outputs.sarifFile }}
   
         # Upload alerts file as a workflow artifact
       - name: Upload alerts file as a workflow artifact
         uses: actions/upload-artifact@v3
         with:  
           name: alerts
           path: ${{ steps.msdo.outputs.sarifFile }}
   

   Poznámka:

   Další možnosti a pokyny pro konfiguraci nástrojů najdete na wikiwebu Microsoft Security DevOps.

8. Výběr možnosti Zahájit potvrzení

   

9. Vyberte Potvrdit nový soubor.

   

   Dokončení procesu může trvat až jednu minutu.

10. Vyberte Akce a ověřte, že je nová akce spuštěná.

    

Zobrazit výsledky kontroly

Zobrazení výsledků kontroly:

1. Přihlaste se na GitHub.

2. Přejděte do nástroje Výstrahy kontroly bezpečnostního>>kódu.

3. V rozevírací nabídce vyberte nástroj Filtrovat podle.

Zjištění kontroly kódu budou filtrována konkrétními nástroji MSDO na GitHubu. Tyto výsledky kontroly kódu se také načte do doporučení Defenderu pro cloud.

Další informace

• Seznamte se s akcemi GitHubu pro Azure.

• Naučte se nasazovat aplikace z GitHubu do Azure.

Související obsah

Přečtěte si další informace o zabezpečení DevOps v defenderu pro cloud.

Zjistěte, jak připojit organizace GitHubu k defenderu pro cloud.