Integración de GitHub Advanced Security con Microsoft Defender for Cloud
Microsoft Defender for Cloud es una solución de seguridad completa que ayuda a las organizaciones a proteger sus cargas de trabajo, aplicaciones e infraestructuras locales y basadas en la nube. Uno de sus componentes es Microsoft Defender para DevOps, una solución de seguridad basada en la nube que proporciona supervisión y análisis continuos de código, compilaciones y versiones hospedadas en GitHub y Azure DevOps para identificar y proteger frente a vulnerabilidades y amenazas de seguridad. Microsoft Defender para DevOps se integra con GitHub Advanced Security, aprovechando los puntos fuertes de ambos servicios para ofrecer una experiencia unificada que ayude a los equipos de DevOps a mejorar su posición de seguridad y a reducir el riesgo de infracciones de seguridad y pérdida de datos.
Defender para DevOps proporciona una interfaz centralizada que agrega datos de varios orígenes, incluido GitHub Advanced Security. Además, ofrece la utilidad de línea de comandos de Microsoft Security DevOps, que facilita la incorporación de herramientas de análisis estáticos a Acciones de GitHub. Los resultados del análisis se muestran automáticamente en el portal de Defender para DevOps.
Integración de Microsoft Defender for Cloud con GitHub Advanced Security
Para implementar la integración entre Microsoft Defender for Cloud y GitHub Advanced Security, incorpore su organización de GitHub a Defender para DevOps. Esto habilitará la compatibilidad con dos conjuntos de características:
- La administración de la posición de seguridad en la nube (CSPM), que facilita la evaluación de la posición de seguridad de GitHub a través de recomendaciones de seguridad detalladas.
- Defender CSPM, que mejora las funcionalidades fundamentales de CSPM al ofrecer evaluación de riesgos e información sobre los puntos débiles más críticos que se pueden aprovechar en el entorno de GitHub.
Para conectar las organizaciones de GitHub, en Azure Portal vaya a la sección Configuración del entorno de la página Microsoft Defender for Cloud. Seleccione Agregar entorno y, después, GitHub. Escriba un nombre arbitrario que se asignará a la conexión y especifique la configuración, incluida la suscripción, el grupo de recursos y la región donde se almacenará la conexión. Además, seleccione el plan de Defender CSPM para la conexión. Cuando se le solicite, autorice la suscripción de Azure para acceder a su organización de GitHub. Después de la autorización, instale la aplicación de GitHub y seleccione los repositorios a los que debe tener acceso Defender para DevOps. Una vez creado, el conector de GitHub aparecerá en la página Configuración del entorno y Defender for Cloud detectará automáticamente los repositorios de las organizaciones de GitHub de destino.
Como resultado, el panel de Defender para DevOps mostrará repositorios incorporados agrupados por organización. El panel Recomendaciones mostrará todas las evaluaciones de seguridad relacionadas con los repositorios de GitHub correspondientes.
Integración de Microsoft Security DevOps en Acciones de GitHub
Microsoft Security DevOps es una aplicación de línea de comandos que instala, configura y ejecuta las versiones más recientes del análisis estático de código abierto, la seguridad y las herramientas de cumplimiento, como Bandit, BinSkim, ESlint, Terrascan y Trivy. Al invocar Microsoft Security DevOps desde un flujo de trabajo de Acciones de GitHub (mediante la acción microsoft/security-devops-action@latest), puede usar la salida generada por cualquiera de sus herramientas para controlar la ruta de acceso de ejecución del flujo de trabajo.
Además, una vez completada la acción, sus resultados se mostrarán automáticamente en la pestaña de seguridad del repositorio de GitHub. Puede filtrar el resultado de seguridad haciendo referencia a herramientas individuales. Además, los resultados también aparecerán en la consola de Microsoft Defender for Cloud en Azure Portal, incluidas las vulnerabilidades de seguridad de DevOps, los resultados de seguridad de DevOps y la cobertura de DevOps.