A Microsoft Security DevOps GitHub-művelet konfigurálása

A Microsoft Security DevOps egy parancssori alkalmazás, amely a statikus elemzési eszközöket integrálja a fejlesztési életciklusba. A Security DevOps telepíti, konfigurálja és futtatja a statikus elemzési eszközök legújabb verzióit, például az SDL-t, a biztonsági és megfelelőségi eszközöket. A Security DevOps olyan hordozható konfigurációkkal rendelkező adatvezérelt, amelyek több környezetben teszik lehetővé a determinisztikus végrehajtást.

A Microsoft Security DevOps a következő nyílt forráskódú eszközöket használja:

Név	Nyelv	Licenc
Antimalware	Kártevőirtó védelem a Windowsban a Végponthoz készült Microsoft Defender ellen, amely kártevőket keres, és megszakítja a buildet, ha kártevőt találtak. Ez az eszköz alapértelmezés szerint a Windows legújabb ügynökén vizsgálja.	Nem nyílt forráskódú
Bandit	Python	Apache-licenc 2.0
BinSkim	Bináris-Windows, ELF	MIT-licenc
Checkov	Terraform, Terraform-terv, CloudFormation, AWS SAM, Kubernetes, Helm-diagramok, Kustomize, Dockerfile, Kiszolgáló nélküli, Bicep, OpenAPI, ARM	Apache-licenc 2.0
ESlint	JavaScript	MIT-licenc
Sablonelemző	ARM-sablon, Bicep	MIT-licenc
Terrascan	Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation	Apache-licenc 2.0
Apróság	tárolórendszerképek, infrastruktúra kódként (IaC)	Apache-licenc 2.0

Előfeltételek

• Azure-előfizetés Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy ingyenes fiókot .

• Csatlakozás a GitHub-adattárakat.

• Kövesse az útmutatást a GitHub Advanced Security beállításához a DevOps állapotértékeléseinek megtekintéséhez Felhőhöz készült Defender.

• Nyissa meg a Microsoft Security DevOps GitHub-műveletet egy új ablakban.

• Győződjön meg arról, hogy a munkafolyamat-engedélyek olvasásra és írásra vannak állítva a GitHub-adattárban. Ebbe beletartozik az "id-token: write" engedélyek beállítása a GitHub-munkafolyamatban a Felhőhöz készült Defender való összevonáshoz.

A Microsoft Security DevOps GitHub-művelet konfigurálása

A GitHub-művelet beállítása:

1. Jelentkezzen be a GitHubra.

2. Válassza ki azt az adattárat, amelyhez konfigurálni szeretné a GitHub-műveletet.

3. Válassza a Műveletek gombot.

   

4. Válassza az Új munkafolyamat lehetőséget.

5. A GitHub Actions használatának első lépései lapon válassza saját maga a munkafolyamat beállítását

   

6. A szövegmezőbe írja be a munkafolyamat-fájl nevét. Például: msdevopssec.yml.

   

7. Másolja és illessze be a következő mintaműveleti munkafolyamatot az Új fájl szerkesztése lapra.

   name: MSDO
   on:
     push:
       branches:
         - master
   
   jobs:
     sample:
       name: Microsoft Security DevOps
   
       # MSDO runs on windows-latest.
       # ubuntu-latest also supported
       runs-on: windows-latest
   
       permissions:
         contents: read
         id-token: write
         actions: read
         security-events: write
   
       steps:
   
         # Checkout your code repository to scan
       - uses: actions/checkout@v3
   
         # Run analyzers
       - name: Run Microsoft Security DevOps Analysis
         uses: microsoft/security-devops-action@latest
         id: msdo
       # with:
         # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig').
         # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub.
         # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all.
         # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all.
         # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'.
   
         # Upload alerts to the Security tab
       - name: Upload alerts to Security tab
         uses: github/codeql-action/upload-sarif@v2
         with:
           sarif_file: ${{ steps.msdo.outputs.sarifFile }}
   
         # Upload alerts file as a workflow artifact
       - name: Upload alerts file as a workflow artifact
         uses: actions/upload-artifact@v3
         with:  
           name: alerts
           path: ${{ steps.msdo.outputs.sarifFile }}
   

   Feljegyzés

   További eszközkonfigurációs beállítások és utasítások: Microsoft Security DevOps wiki

8. Válassza a Véglegesítés indítása lehetőséget

   

9. Válassza az Új fájl véglegesítése lehetőséget.

   

   A folyamat akár egy percet is igénybe vehet.

10. Válassza a Műveletek lehetőséget, és ellenőrizze, hogy az új művelet fut-e.

    

Vizsgálati eredmények megtekintése

A vizsgálati eredmények megtekintése:

1. Jelentkezzen be a GitHubra.

2. Lépjen a Biztonsági>kód ellenőrzési riasztások>eszközére.

3. A legördülő menüben válassza a Szűrés eszköz szerint lehetőséget.

A kódkeresési eredményeket a GitHub adott MSDO-eszközei szűrik. Ezek a kódvizsgálati eredmények Felhőhöz készült Defender javaslatokba is bekerülnek.

További információ

• További információ az Azure-hoz készült GitHub-műveletekről.

• Megtudhatja, hogyan helyezhet üzembe alkalmazásokat a GitHubról az Azure-ba.

Kapcsolódó tartalom

További információ a DevOps biztonságáról Felhőhöz készült Defender.

Megtudhatja, hogyan csatlakoztathatja a GitHub-szervezeteket Felhőhöz készült Defender.