Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La CLI de Defender for Cloud es una herramienta de línea de comandos de desarrollador que organiza exámenes de seguridad en canalizaciones de CI/CD y en terminales de desarrollador. Carga los resultados en Microsoft Defender for Cloud para la administración de posiciones, el contexto de código a entorno de ejecución, la priorización y el seguimiento. Acelera la entrega segura con una configuración mínima, opciones de línea de comandos fáciles de usar y instrucciones accionables que ayudan a los equipos a solucionar problemas rápidamente sin interrumpir el flujo.
Qué hace la CLI de Defender for Cloud
Ejecute exámenes de seguridad en cualquier lugar: Puede iniciar exámenes desde el equipo portátil o desde cualquier sistema de canalización de CI/CD (como Acciones de GitHub, Azure DevOps, Jenkins, Bitbucket, etc.). La herramienta requiere una configuración mínima: un único ejecutable, valores predeterminados razonables y autenticación simplificada.
Unificar escáneres con una herramienta: orqueste múltiples motores de seguridad (por ejemplo, análisis de imágenes de contenedor y más a medida que estén disponibles) con resultados y códigos de salida coherentes que optimizan el control de la canalización y la automatización.
Cargue los resultados en Defender for Cloud: Los resultados llegan a un único lugar donde los equipos de seguridad obtienen visibilidad de código a tiempo de ejecución, contexto de ruta de acceso a ataques y contenido de recomendación estándar para dirigirse a lo que importa en primer lugar.
Diseñado para la experiencia del desarrollador: proporciona ayuda clara, salida de consola concisa y guía de corrección que se alinea con la forma en que trabajan los desarrolladores (canalizaciones, terminales y solicitudes de cambios).
Cómo encaja en el flujo de trabajo
- Se instala y autentica en la canalización de CI/CD o localmente.
- Escanea la imagen en la que estás trabajando.
- Revise los resultados en la consola, exporte si es necesario y cárguelo en Defender for Cloud.
Autenticación
La CLI de Defender for Cloud admite dos métodos de autenticación para alinearse con los procedimientos de seguridad empresariales. El primer método preferido es la autenticación basada en conectores, actualmente disponible para Azure DevOps y GitHub. Al establecer un conector entre estos administradores de control de código fuente y Defender for Cloud, la autenticación se controla automáticamente, lo que elimina la necesidad de agregar tokens a las canalizaciones. El segundo método es la autenticación basada en tokens, donde los administradores de seguridad crean tokens en el portal de Microsoft Defender for Cloud y los configuran como variables de entorno en canalizaciones de CI/CD o terminales locales. Este enfoque ofrece flexibilidad en los sistemas de compilación y permite un enfoque específico por suscripción. Para obtener pasos y ejemplos detallados, consulte Autenticación.
Integración de CI/CD
La CLI de Defender for Cloud es independiente de la plataforma y funciona si usa un conector nativo o tokens de autenticación. Los equipos pueden adoptarlo progresivamente, optimizar YAML con valores predeterminados y confiar en códigos de salida estables y coherentes para integrar comprobaciones. Ejemplos y entradas de Marketplace (tarea de Azure DevOps) forman parte del lanzamiento estándar para acelerar la incorporación. Para obtener pasos y ejemplos detallados, consulte Integración de CI/CD.
Diseño de referencia de comandos
La sintaxis de la CLI de Defender for Cloud sigue un patrón de referencia name - command - parameter - parameter valuesimple. Por ejemplo, este es el procedimiento para examinar un contenedor:
defender scan image myregistry.azurecr.io/app:build-123
Para obtener una referencia detallada, consulte Sintaxis.
Resultados y corrección
- Proporciona una salida de consola legible con problemas y pasos siguientes para la corrección.
- Cuando se invoca desde canalizaciones de CI/CD, carga los resultados en Defender for Cloud, donde los resultados aparecen en inventarios de recursos, recomendaciones y rutas de acceso de ataque con contexto en tiempo de ejecución (por ejemplo, exposición a Internet y cargas de trabajo afectadas).
Para revisar los resultados, consulte Revisión de los resultados.
Visibilidad desde código hasta tiempo de ejecución
Cuando se cargan los hallazgos, Defender for Cloud modela las relaciones entre el repositorio de modelos, la canalización, la imagen y los recursos en el entorno de ejecución, de modo que los equipos de seguridad puedan identificar a los propietarios correctos, comprender el radio de impacto y alinear la corrección con el riesgo. Para más información, consulte Asignación de imagen de contenedor.
Migración desde la CLI de MSDO
Si usa la CLI heredada de Microsoft Security DevOps (MSDO), considere la posibilidad de pasar a la CLI de Defender for Cloud para obtener:
Escaneo de contenedores de Microsoft Container Security Scanner (respaldado por MDVM) (reemplazando el escaneo de imágenes Trivy en canalizaciones).
Experiencia mejorada para desarrolladores de usuarios (ejecute localmente y en CI con opciones de línea de comandos).
Una ruta preparada funcionar en el futuro a medida que la CLI de Defender for Cloud orquesta nuevos escáneres. La CLI de MSDO permanece en soporte técnico de mantenimiento.