Konfigurace akce GitHubu Microsoft Security DevOps
Microsoft Security DevOps je aplikace příkazového řádku, která integruje nástroje statické analýzy do životního cyklu vývoje. Security DevOps instaluje, konfiguruje a spouští nejnovější verze nástrojů pro statickou analýzu, jako jsou SDL, nástroje zabezpečení a dodržování předpisů. Zabezpečení DevOps je řízeno daty pomocí přenosných konfigurací, které umožňují deterministické spouštění napříč několika prostředími.
Microsoft Security DevOps používá následující open source nástroje:
Název | Jazyk | Licence |
---|---|---|
Antimalware | AntiMalwarová ochrana ve Windows z programu Microsoft Defender for Endpoint, která vyhledá malware a přeruší sestavení, pokud byl nalezen malware. Tento nástroj ve výchozím nastavení prohledává agenta windows-latest. | Není open source |
Bandita | Python | Apache License 2.0 |
BinSkim | Binary--Windows, ELF | Licence MIT |
Checkov | Terraform, Terraform plan, CloudFormation, AWS SAM, Kubernetes, Helm charts, Kustomize, Dockerfile, Serverless, Bicep, OpenAPI, ARM | Apache License 2.0 |
ESlint | JavaScript | Licence MIT |
Analyzátor šablon | Šablona ARM, Bicep | Licence MIT |
Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Apache License 2.0 |
Trivy | image kontejnerů, infrastruktura jako kód (IaC) | Apache License 2.0 |
Požadavky
Předplatné Azure Pokud nemáte předplatné Azure, vytvořte si před zahájením bezplatný účet .
Připojení úložiště GitHub.
Postupujte podle pokynů a nastavte GitHub Advanced Security , abyste mohli zobrazit hodnocení stavu DevOps v defenderu pro cloud.
Otevřete akci GitHubu Microsoft Security DevOps v novém okně.
Ujistěte se, že jsou oprávnění pracovního postupu nastavená na čtení a zápis v úložišti GitHub. To zahrnuje nastavení oprávnění id-token: zápis v pracovním postupu GitHubu pro federaci s defenderem pro cloud.
Konfigurace akce GitHubu Microsoft Security DevOps
Nastavení akce GitHubu:
Přihlaste se na GitHub.
Vyberte úložiště, na které chcete nakonfigurovat akci GitHubu.
Vyberte Akce.
Vyberte Nový pracovní postup.
Na stránce Začínáme s GitHub Actions vyberte nastavit pracovní postup sami.
Do textového pole zadejte název souboru pracovního postupu. Například
msdevopssec.yml
.Zkopírujte následující ukázkový pracovní postup akce a vložte ho na kartu Upravit nový soubor.
name: MSDO on: push: branches: - master jobs: sample: name: Microsoft Security DevOps # MSDO runs on windows-latest. # ubuntu-latest also supported runs-on: windows-latest permissions: contents: read id-token: write actions: read security-events: write steps: # Checkout your code repository to scan - uses: actions/checkout@v3 # Run analyzers - name: Run Microsoft Security DevOps Analysis uses: microsoft/security-devops-action@latest id: msdo # with: # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig'). # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub. # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all. # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all. # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'. # Upload alerts to the Security tab - name: Upload alerts to Security tab uses: github/codeql-action/upload-sarif@v2 with: sarif_file: ${{ steps.msdo.outputs.sarifFile }} # Upload alerts file as a workflow artifact - name: Upload alerts file as a workflow artifact uses: actions/upload-artifact@v3 with: name: alerts path: ${{ steps.msdo.outputs.sarifFile }}
Poznámka:
Další možnosti a pokyny pro konfiguraci nástrojů najdete na wikiwebu Microsoft Security DevOps.
Výběr možnosti Zahájit potvrzení
Vyberte Potvrdit nový soubor.
Dokončení procesu může trvat až jednu minutu.
Vyberte Akce a ověřte, že je nová akce spuštěná.
Zobrazit výsledky kontroly
Zobrazení výsledků kontroly:
Přihlaste se na GitHub.
Přejděte do nástroje Výstrahy kontroly bezpečnostního>>kódu.
V rozevírací nabídce vyberte nástroj Filtrovat podle.
Zjištění kontroly kódu budou filtrována konkrétními nástroji MSDO na GitHubu. Tyto výsledky kontroly kódu se také načte do doporučení Defenderu pro cloud.
Další informace
Seznamte se s akcemi GitHubu pro Azure.
Naučte se nasazovat aplikace z GitHubu do Azure.
Související obsah
Přečtěte si další informace o zabezpečení DevOps v defenderu pro cloud.
Zjistěte, jak připojit organizace GitHubu k defenderu pro cloud.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro