Intégrer GitHub Advanced Security à Microsoft Defender pour le cloud
Microsoft Defender pour le cloud est une solution de sécurité complète qui aide les organisations à protéger leurs charges de travail, applications et infrastructure locales basées sur le cloud. L’un de ses composants est Microsoft Defender pour DevOps, une solution de sécurité basée sur le cloud qui assure une surveillance et une analyse continues du code, des builds et des versions hébergées dans GitHub et Azure DevOps afin d’identifier les vulnérabilités et les menaces de sécurité et de s’en protéger. Microsoft Defender pour DevOps s’intègre à GitHub Advanced Security, tirant parti des forces des deux services pour offrir une expérience unifiée qui aide les équipes DevOps à améliorer leur posture de sécurité et à réduire le risque de violations de sécurité et de perte de données.
Defender pour DevOps fournit une interface centralisée qui agrège les données de plusieurs sources, notamment GitHub Advanced Security. En outre, il offre l’utilitaire de ligne de commande Microsoft Security DevOps, qui facilite l’incorporation d’outils d’analyse statique dans GitHub Actions. Les résultats de l’analyse sont automatiquement affichés dans le portail Defender pour DevOps.
Intégration de Microsoft Defender pour le cloud à GitHub Advanced Security
Pour implémenter l’intégration entre Microsoft Defender pour le cloud et GitHub Advanced Security, intégrez votre organisation GitHub à Defender pour DevOps. Cela permet de prendre en charge deux ensembles de fonctionnalités :
- Gestion de la posture de sécurité cloud (CSPM) fondamentale, qui facilite l’évaluation de la posture de sécurité GitHub par le biais de recommandations de sécurité détaillées.
- CSPM Defender, qui améliore les fonctionnalités fondamentales CSPM en offrant une évaluation des risques et des insights sur les failles exploitables les plus critiques dans l’environnement GitHub.
Pour connecter vos organisations GitHub, dans le portail Azure, accédez à la section Paramètres de l’environnement de la page Microsoft Defender pour le cloud. Sélectionnez Ajouter un environnement, puis sélectionnez GitHub. Entrez un nom arbitraire qui sera attribué à la connexion et spécifiez ses paramètres de configuration, notamment l’abonnement, le groupe de ressources et la région où la connexion sera stockée. En outre, sélectionnez le plan CSPM Defender pour la connexion. Lorsque vous y êtes invité(e), autorisez votre abonnement Azure à accéder à votre organisation GitHub. Après l’autorisation, installez l’application GitHub et sélectionnez les référentiels auxquels Defender pour DevOps doit avoir accès. Une fois créé, le connecteur GitHub apparaîtra sur la page Paramètres de l’environnement, et Defender pour le cloud découvrira automatiquement les référentiels dans les organisations GitHub cibles.
Par conséquent, le volet Defender pour DevOps affichera les référentiels intégrés regroupés par organisation. Le volet Recommandations affichera toutes les évaluations de sécurité liées aux référentiels GitHub correspondants.
Intégration de Microsoft Security DevOps dans GitHub Actions
Microsoft Security DevOps est une application en ligne de commande qui installe, configure et exécute les dernières versions d’analyse statique open source, de sécurité et d’outils de conformité, notamment Bandit, BinSkim, ESlint, Terrascan et Trivy. En appelant Microsoft Security DevOps à partir d’un flux de travail GitHub Actions (à l’aide de l’action microsoft/security-devops-action@latest), vous pouvez utiliser la sortie générée par l’un de ses outils pour contrôler le chemin d’exécution du flux de travail.
En outre, une fois l’action terminée, ses résultats s’affichent automatiquement dans l’onglet sécurité du référentiel GitHub. Vous pouvez filtrer le résultat de la sécurité en référençant des outils individuels. En outre, les résultats apparaîtront également dans la console Microsoft Defender pour le cloud du portail Azure, notamment les vulnérabilités de sécurité DevOps, les résultats de sécurité DevOps et la couverture DevOps.