Válaszokat kaphat a Microsoft DevOps Security szolgáltatásra vonatkozó gyakori kérdésekre.
Miért kapok hibaüzenetet, amikor csatlakozni próbálok?
Az Engedélyezés gombra kattintva a rendszer azt a fiókot használja, amellyel bejelentkezett. Ennek a fióknak ugyanaz az e-mail-címe lehet, de lehet, hogy más bérlővel rendelkezik. Győződjön meg arról, hogy a megfelelő fiók/bérlő kombinációt választotta ki az előugró hozzájárulási képernyőn és a Visual Studióban.
Miért nem találom az Azure DevOps-adattárat?
A Felhőhöz készült Defender DevOps biztonsági előkészítés csak az adattár típusát TfsGittámogatja. Az adattár típusa TFSVC jelenleg nem támogatott.
Győződjön meg arról, hogy előkészítette az adattárakat Felhőhöz készült Microsoft Defender. Ha továbbra sem látja az adattárat, győződjön meg arról, hogy a megfelelő Azure DevOps-szervezeti felhasználói fiókkal jelentkezett be. Az Azure-előfizetésnek és az Azure DevOps-szervezetnek ugyanabban a bérlőben kell lennie. Ha az összekötő felhasználója hibás, törölnie kell a korábban létrehozott összekötőt, be kell jelentkeznie a megfelelő felhasználói fiókkal, és újra létre kell hoznia az összekötőt.
Miért nem látom a létrehozott SARIF-fájlt abban az elérési úton, amely mellett döntöttem?
Ha nem látja a SARIF-fájlt a várt elérési úton, előfordulhat, hogy az egyiktől CodeAnalysisLogs/msdo.sarif eltérő elvetési útvonalat választott. Jelenleg a SARIF-fájlokat a következőre kell dobnia CodeAnalysisLogs/msdo.sarif: .
Miért nem látom az Azure DevOps-projektjeim eredményeit a Felhőhöz készült Microsoft Defender?
Ha klasszikus folyamatkonfigurációt használ, győződjön meg arról, hogy nem módosítja az összetevő nevét. Ez azt eredményezheti, hogy nem látja a projekt eredményeit. További információ az eredmények áttekintéséről.
Sikeresen előkészítettem egy DevOps-összekötőt, hol találom a kapcsolódó javaslataimat?
Javasoljuk, hogy lépjen a DevOps Security panelre, és tekintse meg a DevOps biztonsági helyzetének áttekintését. A javaslat részleteinek megtekintéséhez rendezheti és szűrheti a fontos DevOps-erőforrás alapján.
A DevOps-munkafüzetet is használhatja, és igényei szerint testre szabhatja.
Milyen információkat tárol rólam és a vállalatomról a DevOps biztonsági termék, és hol tárolják és dolgozzák fel az adatokat?
A DevOps biztonsági funkciói a forráskódkezelő rendszerhez csatlakoznak, például az Azure DevOpshoz, a GitHubhoz és/vagy a GitLabhez, hogy központi konzolt biztosítsanak a DevOps-erőforrásokhoz és a biztonsági helyzethez. A DevOps biztonsági funkciói a következő információkat dolgozza fel és tárolják:
A csatlakoztatott forráskódkezelő rendszerek és a kapcsolódó adattárak metaadatai. Ezek az adatok felhasználói, szervezeti és hitelesítési adatokat tartalmaznak.
Javaslatok és részletek keresése az eredményekben.
A DevOps biztonsági funkciói a Felhőhöz készült Microsoft Defender részét képezik. A Felhőhöz készült Microsoft Defender szolgáltatással kapcsolatban tekintse meg az alábbi adattárolási útmutatót és az EU adathatárának részleteit.
A DevOps-biztonság jelenleg nem dolgozza fel és nem tárolja a kódokat, buildelési és naplózási naplókat, de a jövőben bővítheti a képességeit.
Az Azure DevOps-összekötőhöz miért van szükség írási engedélyekre a munkaelemekhez, a buildeléshez, a kódhoz, a szolgáltatáshookokhoz és a speciális biztonsághoz?
Ezek az engedélyek bizonyos DevOps biztonsági funkciókhoz, például a lekéréses kérelmek széljegyzeteihez szükségesek a működéshez.
Elérhető és nyomon követhető a javaslatmentességi képesség az alkalmazásbiztonsági biztonságirés-kezelés?
A DevOps biztonsági javaslatainak kivételei jelenleg nem érhetők el Felhőhöz készült Microsoft Defender.
Miért nem látom a GitHub Advanced Security for Azure Devops (GHAzDO) eredményeit Felhőhöz készült Defender?
Ellenőrizze, hogy az összekötők megfelelően engedélyezve van-e.
Győződjön meg arról, hogy ugyanazt az előfizetés-azonosítót használja a GHAzDO-hoz és a Felhőhöz készült Defender. Ha továbbra sem látja az eredményeket, a problémát az okozhatja, hogy az ADO-összekötő nem rendelkezik a szükséges hatókörrel. A DevOps security júniusban új hatóköröket vezetett be az Azure DevOps-összekötőkhöz. Ha június előtt hozta létre az összekötőt, és nem frissítette, akkor nem fogja látni a GHAzDO-eredményeket az összekötő hiányzó hatóköre miatt. Létre kell hoznia egy új ADO-összekötőt, amely automatikusan tartalmazza az új hatóköröket.
Győződjön meg arról, hogy a Microsoft Defender for DevOps felhasználói engedélyei rendelkeznek és Read be vannak Advanced Security: view alerts állítvaAllow. Ezek az engedélyek módosulhattak, ha az "Öröklés" kapcsoló ki lett kapcsolva. Ha a szükséges engedélyek be vannak állítva Not set vagyDeny, manuálisan kell frissíteni őket, különben Allow a GHAzDO-eredmények nem jelennek meg Felhőhöz készült Defender javaslatokban.
Elérhető a folyamatos, automatikus vizsgálat?
A vizsgálat jelenleg a létrehozáskor történik.
Miért nem tudom konfigurálni a lekéréses kérelmek széljegyzeteit?
Győződjön meg arról, hogy írási (tulajdonosi/közreműködői) hozzáféréssel rendelkezik az előfizetéshez. Ha ma nem rendelkezik ilyen típusú hozzáféréssel, a Microsoft Entra-szerepkör aktiválásával érheti el a PIM-ben.
Milyen programozási nyelveket támogatnak a DevOps biztonsági funkciói?
A DevOps biztonsági funkciói a következő nyelveket támogatják:
- Python
- JavaScript
- TypeScript
A GitHub Advanced Security által támogatott nyelvek listáját itt találja.
Migrálhatom az összekötőt egy másik régióba?
Migrálhatom például az összekötőt az USA középső régiójából a Nyugat-Európa régióba?
Jelenleg nem támogatjuk a DevOps biztonsági összekötőinek automatikus migrálását egyik régióból a másikba.
Ha egy DevOps-összekötő helyét egy másik régióba szeretné áthelyezni, a javaslat az, hogy törölje a meglévő összekötőt, majd hozza létre újra az összekötőt az új régióban.
A Felhőhöz készült Defender által kezdeményezett API-hívások beleszámítanak a fogyasztási korlátba?
Igen, a Felhőhöz készült Defender által kezdeményezett API-hívások az Azure DevOps globális használati korlátjának számítanak. Felhőhöz készült Defender hívásokat kezdeményez az összekötőt létrehozó felhasználó nevében.
Miért üres a szervezeti lista a felhasználói felületen?
Ha a szervezeti lista üres a felhasználói felületen az Azure DevOps-összekötő előkészítése után, győződjön meg arról, hogy az Azure DevOpsban lévő szervezet csatlakozik ahhoz az Azure-bérlőhöz, amely az összekötőt hitelesítő felhasználót tartalmazza.
A probléma megoldásáról a DevOps hibaelhárítási útmutatójában olvashat.
Egy nagy Azure DevOps-szervezettel rendelkezem, amely számos adattárral rendelkezik. Továbbra is be tudok-e ikni?
Igen, nincs korlátja annak, hogy hány Azure DevOps-adattárat tud előkészíteni a DevOps biztonsági képességeihez.
A nagy szervezetek előkészítésekor azonban két fő következmény van: a sebesség és a szabályozás. A DevOps-adattárak felderítési sebességét az egyes összekötők projektjeinek száma határozza meg (körülbelül 100 projekt óránként). A szabályozás azért fordulhat elő, mert az Azure DevOps API-hívások globális sebességkorlátozással rendelkeznek, és a projektfelderítési hívásokat a teljes kvótakorlátok kis részének használatára korlátozzuk.
Fontolja meg egy másik Azure DevOps-identitás (azaz egy szolgáltatásfiókként használt Szervezeti Rendszergazda istrator-fiók) használatát, hogy elkerülje az egyes fiókok szabályozását a nagy szervezetek előkészítésekor. Az alábbiakban néhány forgatókönyvet talál arra, hogy mikor érdemes alternatív identitást használni a DevOps biztonsági összekötőjének előkészítéséhez:
- Nagy számú Azure DevOps-szervezet és projekt (~500 projekt vagy több).
- A munkaidőben csúcsosuló, egyidejű buildek nagy száma.
- A jogosult felhasználó egy Power Platform-felhasználó, aki további Azure DevOps API-hívásokat végez a globális sebességkorlát kvótáinak felhasználásával.
Miután előkészítette az Azure DevOps-adattárakat ezzel a fiókkal, és konfigurálta és futtatta a Microsoft Security DevOps Azure DevOps bővítményt a CI/CD-folyamatban, a vizsgálati eredmények szinte azonnal megjelennek a Felhőhöz készült Microsoft Defender.