Lekéréses kérelmek megjegyzéseinek engedélyezése a GitHubon és az Azure DevOpsban
A DevOps security a biztonsági megállapításokat széljegyzetekként teszi elérhetővé a lekéréses kérelmekben (PR). A biztonsági operátorok engedélyezhetik a pr-megjegyzések használatát a Felhőhöz készült Microsoft Defender. A feltárt problémákat a fejlesztők elháríthatják. Ez a folyamat megelőzheti és kijavíthatja a lehetséges biztonsági réseket és helytelen konfigurációkat, mielőtt belépnének az éles fázisba. A DevOps biztonsági megjegyzéseket fűz a lekéréses kérelem során bevezetett különbségekhez, nem pedig a teljes fájlban észlelt összes biztonsági réshez. A fejlesztők a forráskódkezelő rendszerekben láthatnak széljegyzeteket, a biztonsági operátorok pedig a Felhőhöz készült Microsoft Defender megoldatlan megállapításait.
A Felhőhöz készült Microsoft Defender konfigurálhatja a PR-széljegyzeteket az Azure DevOpsban. Ha Ön GitHub Advanced Security-ügyfél, lekérheti a GitHub pr-megjegyzéseit.
Mik azok a lekéréses kérelmek széljegyzetei?
A lekéréses kérelmek megjegyzései olyan megjegyzések, amelyek a GitHubon vagy az Azure DevOpsban hozzáadódnak egy lekéréses kérelemhez. Ezek a széljegyzetek visszajelzést adnak a kód módosításairól és a lekéréses kérelemben azonosított biztonsági problémákról, és segítenek a véleményezőknek megérteni a végrehajtott módosításokat.
Az adattárhoz hozzáféréssel rendelkező felhasználók széljegyzeteket adhatnak hozzá, és módosításokat javasolhatnak, kérdéseket tehetnek fel, vagy visszajelzést küldhetnek a kódról. A széljegyzetek olyan problémák és hibák nyomon követésére is használhatók, amelyeket a kód fő ágba való egyesítése előtt ki kell javítani. A DevOps-biztonság Felhőhöz készült Defender a biztonsági megállapítások felszínre hozásához széljegyzeteket használ.
Előfeltételek
GitHub esetén:
- Egy Azure-fiók. Ha még nem rendelkezik Azure-fiókkal, ma létrehozhatja ingyenes Azure-fiókját.
- Legyen GitHub Advanced Security-ügyfél .
- Csatlakozás a GitHub-adattárakat Felhőhöz készült Microsoft Defender.
- Konfigurálja a Microsoft Security DevOps GitHub-műveletet.
Azure DevOps esetén:
- Egy Azure-fiók. Ha még nem rendelkezik Azure-fiókkal, ma létrehozhatja ingyenes Azure-fiókját.
- Írási hozzáféréssel (tulajdonos/közreműködő) rendelkezik az Azure-előfizetéshez.
- Csatlakozás Azure DevOps-adattárakat Felhőhöz készült Microsoft Defender.
- Konfigurálja a Microsoft Security DevOps Azure DevOps bővítményt.
Lekéréses kérelmek széljegyzeteinek engedélyezése a GitHubon
Ha engedélyezi a lekéréses kérelmek széljegyzeteit a GitHubon, a fejlesztők láthatják a biztonsági problémáikat, amikor közvetlenül a főághoz hoznak létre lekéréses kérelmeket.
Lekéréses kérelmek széljegyzeteinek engedélyezése a GitHubon:
Válasszon ki egy adattárat, amelyet Felhőhöz készült Defender.
Lépjen a
Your repository's home page
>.github/workflows webhelyre.Válassza ki az előfeltételekben létrehozott msdevopssec.yml.
Válassza a szerkesztés lehetőséget.
Keresse meg és frissítse az eseményindító szakaszt a következőre:
# Triggers the workflow on push or pull request events but only for the main branch pull_request: branches: ["main"]
Megtekintheti a mintaadattárat is.
(Nem kötelező) Az eseményindító szakasz alatti ág(ok) beírásával kiválaszthatja, hogy mely ágakon szeretné futtatni. Ha az összes ágat fel szeretné venni, távolítsa el a sorokat az áglistával.
Válassza a Start commit (Véglegesítés indítása) lehetőséget.
Válassza a Módosítások véglegesítése lehetőséget.
A képolvasó által észlelt problémák a lekéréses kérelem Fájlok módosított szakaszában tekinthetők meg.
- Tesztekben használatos – A riasztás nem szerepel az éles kódban.
Lekéréses kérelmek megjegyzéseinek engedélyezése az Azure DevOpsban
Ha engedélyezi a lekéréses kérelmek széljegyzeteit az Azure DevOpsban, a fejlesztők láthatják a biztonsági problémáikat, amikor közvetlenül a főághoz hoznak létre PRs-eket.
Buildérvényesítési szabályzat engedélyezése a CI-buildhez
A lekéréses kérelmek széljegyzeteinek engedélyezése előtt a fő ágnak engedélyeznie kell a CI-build buildjének buildérvényesítési szabályzatát.
Buildérvényesítési szabályzat engedélyezése a CI-buildhez:
Jelentkezzen be az Azure DevOps-projektbe.
Lépjen a Project-beállítások>tárházaihoz.
Válassza ki az adattárat a lekéréses kérelmek engedélyezéséhez.
Válassza a Szabályzatok lehetőséget.
Lépjen a Fiókszabályzatok>fő ágára.
Keresse meg a Build Validation szakaszt.
Győződjön meg arról, hogy az adattár buildérvényesítése be van kapcsolva.
Válassza a Mentés lehetőséget.
Miután elvégezte ezeket a lépéseket, kiválaszthatja a korábban létrehozott buildelési folyamatot, és igényeinek megfelelően testre szabhatja annak beállításait.
Lekéréses kérelem széljegyzeteinek engedélyezése
A lekéréses kérelmek megjegyzéseinek engedélyezése az Azure DevOpsban:
Jelentkezzen be az Azure Portalra.
Lépjen a Felhőhöz készült Defender> DevOps biztonságához.
Válassza ki az összes releváns adattárat a lekéréses kérelem széljegyzeteinek engedélyezéséhez.
Válassza az Erőforrások kezelése lehetőséget.
A lekéréses kérelmek széljegyzeteinek bekapcsolva állásba kapcsolása.
(Nem kötelező) Válasszon kategóriát a legördülő menüből.
Feljegyzés
Jelenleg csak a kódként való infrastruktúra-konfigurációk (ARM, Bicep, Terraform, CloudFormation, Dockerfiles, Helm-diagramok és egyebek) támogatottak.
(Nem kötelező) Válasszon egy súlyossági szintet a legördülő menüből.
Válassza a Mentés lehetőséget.
A lekéréses kérelmek összes széljegyzete mostantól a konfigurációk alapján jelenik meg.
A lekéréses kérelmek megjegyzéseinek engedélyezése az Azure DevOps projektjeihez és szervezeteihez:
Ezt programozott módon teheti meg, ha meghívja az Update Azure DevOps Resource API-t, amely közzéteheti a Microsoftot. Biztonsági erőforrás-szolgáltató.
API-információk:
Http-módszer: PATCH URL-címek:
- Azure DevOps Project Update:
https://management.azure.com/subscriptions/<subId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Security/securityConnectors/<connectorName>/devops/default/azureDevOpsOrgs/<adoOrgName>/projects/<adoProjectName>?api-version=2023-09-01-preview
- Azure DevOps Org Update]:
https://management.azure.com/subscriptions/<subId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Security/securityConnectors/<connectorName>/devops/default/azureDevOpsOrgs/<adoOrgName>?api-version=2023-09-01-preview
Kérés szövegtörzse:
{
"properties": {
"actionableRemediation": {
"state": <ActionableRemediationState>,
"categoryConfigurations":[
{"category": <Category>,"minimumSeverityLevel": <Severity>}
]
}
}
}
Paraméterek / Elérhető beállítások
<ActionableRemediationState>
Leírás: A PR-megjegyzések konfigurációs beállításainak állapota: Engedélyezve | Tiltva
<Category>
Leírás: A lekéréses kérelmeken jegyzetelt találatok kategóriája.
Beállítások: IaC | Kód | Összetevők | Függőségek | Tárolók megjegyzése: Jelenleg csak az IaC támogatott
<Severity>
Leírás: A lekéréses kérelemjegyzetek létrehozásakor figyelembe vett találatok minimális súlyossága.
Beállítások: Magas | Közepes | Alacsony
Példa az Azure DevOps Org IaC-kategóriára vonatkozó PR-megjegyzéseinek engedélyezésére közepes súlyossággal az az cli eszközzel.
Szervezet frissítése:
az --method patch --uri https://management.azure.com/subscriptions/4383331f-878a-426f-822d-530fb00e440e/resourcegroups/myrg/providers/Microsoft.Security/securityConnectors/myconnector/devops/default/azureDevOpsOrgs/testOrg?api-version=2023-09-01-preview --body "{'properties':{'actionableRemediation':{'state':'Enabled','categoryConfigurations':[{'category':'IaC','minimumSeverityLevel':'Medium'}]}}}
Példa egy Azure DevOps Project pr-megjegyzéseinek engedélyezésére az IaC-kategóriához, amelynek minimális súlyossága magas az az cli eszközzel.
Projekt frissítése:
az --method patch --uri https://management.azure.com/subscriptions/4383331f-878a-426f-822d-530fb00e440e/resourcegroups/myrg/providers/Microsoft.Security/securityConnectors/myconnector/devops/default/azureDevOpsOrgs/testOrg/projects/testProject?api-version=2023-09-01-preview --body "{'properties':{'actionableRemediation':{'state':'Enabled','categoryConfigurations':[{'category':'IaC','minimumSeverityLevel':'High'}]}}}"
További információ
- További információ a DevOps biztonságáról.
- További információ az infrastruktúra DevOps-biztonságáról kódként.