Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
GitHub Advanced Security (GHAS) integrációja Microsoft Defender for Cloud összekapcsolja a forráskódot a futó felhőbeli számítási feladatokkal, és fordítva – így a biztonsági csapatok rangsorolhatják azokat a biztonsági réseket, amelyek ténylegesen elérik az éles üzemet, és a mérnöki csapatok anélkül javíthatják ki őket, hogy elhagyják GitHub.
Az integráció a következőkre használható:
A futtatókörnyezet biztonsági réseinek visszakövetése az eredeti adattárra és a kódtulajdonosra.
Prioritálja a javításokat a kód üzembe helyezése, a futó éles alkalmazás és a futásidejű kockázat alapján.
Koordinálja a javítást a GitHub kódtárakban és a felhőkörnyezetekben közös kontextussal és állapottal.
Gyorsítsa fel a javításokat AI-alapú (Copilot) szervizeléssel.
Ez az áttekintés bemutatja az integráció működését, és segít megérteni annak alapvető képességeit az üzembe helyezés előtt.
Rendelkezésre állás és előfeltételek
A bevezetés előtt ellenőrizze a következőket:
| kategória | Részletek |
|---|---|
| Környezetvédelmi követelmények | - GitHub Defender for Cloud-ben létrehozott összekötővel rendelkező fiók - GHAS-licenc - Defender cloud security posture management (DCSPM) engedélyezve van az előfizetésben - Microsoft Security Copilot (nem kötelező az automatikus szervizeléshez) |
| Szerepkörök és engedélyek | – Biztonsági rendszergazdai engedélyek - Biztonsági rendszergazda a Azure-előfizetésen (a Defender for Cloud eredményeinek megtekintéséhez) - GitHub-szervezet tulajdonosa |
| Felhőkörnyezetek | - Csak kereskedelmi felhőkben érhető el (nem az Azure Governmentben, a 21Vianet által üzemeltetett Azure-ban vagy más szuverén felhőkben) |
Személyiségek és fájdalompontok
Fő folyamatok
Fő képességek
Automatikus kód–futásidejű leképezés
Ha GitHub szervezetét vagy adattárát Microsoft Defender for Cloud csatlakoztatja GitHub összekötőn keresztül, a rendszer automatikusan leképezi a forrástárakat a felhőbeli számítási feladatok futtatására. Defender for Cloud saját fejlesztésű kód–futásidejű metódusokkal biztosítja, hogy minden számítási feladat nyomon legyen követve a forrásadattárban (és fordítva).
Ez a funkció azonnali teljes körű láthatóságot biztosít, így tudja, melyik kód hajtja meg az egyes üzembe helyezett alkalmazásokat, és hogy mely tárolózott számítási feladatok mely forráskód-adattárhoz vannak hozzárendelve, időigényes manuális leképezés nélkül.
Termelés-tudatos riasztás prioritizálása
Átvágja a zajos biztonsági riasztásokat, és összpontosítson az igazán fontos biztonsági résekre.
A GitHub GHAS biztonsági megállapításait a Defender for Cloud valós futtatókörnyezete rangsorolja. Kiemelik a futásidejű kockázati tényezőket , például az internetes kitettséget, a bizalmas adatokat, a kritikus erőforrásokat és az oldalirányú mozgást. Ezek a kockázati tényezők Defender CSPM támadási útvonalának elemzéséből származnak:
- Internetes kitettség – a nyilvános internetről elérhető számítási feladat
- Bizalmas adatok – a számítási feladat kezeli a szabályozott vagy bizalmas adatokat
- Kritikus erőforrások – üzletileg kritikus fontosságúként megjelölt vagy besorolt számítási feladatok
- Oldalirányú mozgás – a számítási feladat egy olyan útvonalon helyezkedik el, amelyen a támadó végig tud billenni
Ezek a futásidejű számítási feladatokban azonosított kockázatok dinamikusan kapcsolódnak a számítási feladatok forráskódtáraihoz és a GitHub meghatározott buildösszetevőihez.
Szűrhet és osztályozhat, továbbá csak azokat a biztonsági problémákat kezelheti, amelyek tényleges üzemi hatással vannak, mind a Defender for Cloud, mind a GitHub esetében. Ez a képesség segít a csapatnak a hatékony működésben és a legfontosabb alkalmazások biztonságának megőrzésében.
A gyakorlatban
A contoso/payments-api-adattárból létrehozott tárolórendszerkép az AKS-ben van üzembe helyezve. Defender for Cloud észleli az internetes kitettséget, valamint a számítási feladat bizalmas adatkezelését. A GitHub biztonsági fülén a CVE a képen automatikusan Kritikusra van emelve, és egy kattintással létrehozott GitHub probléma van hozzárendelve az adattár CODEOWNERS-hez, teljes futási és SDLC kontextussal együtt.
Egységes AI-alapú szervizelés
A biztonsági és mérnöki csapatok közötti szakadék áthidalása integrált munkafolyamatokkal és releváns környezetekkel.
A Defender for Cloudon belül a biztonsági vezetők láthatják, hogy a mérnöki csapat mely biztonsági problémákról tud már, valamint a problémák állapotáról. A biztonsági vezetők a "View on GitHub" hivatkozásra kattintva megnyitják ezt az oldalt.
A biztonsági vezetők egy GitHub-probléma-hozzárendelés létrehozásával biztonsági javaslatokat rendelhetnek a megfelelő mérnöki csapatokhoz a megoldáshoz.
A hozzárendelés a forrástárban jön létre. Futásidejű információkat és környezetet biztosít a mérnöki javítás megkönnyítéséhez.
A mérnöki vezetők további megoldás céljából hozzárendelhetnek egy problémát egy fejlesztőhöz. A hozzárendelt felhasználó használhat egy Copilot kódolási ügynököt az AI-alapú automatikus javításokhoz.
Az AppSec-csapatok a runtime kockázati tényezőket a GHAS-eredmények részeként használhatják, és a mérnöki munkát a valóban üzembe helyezett és futtatott kóddal kapcsolatos eredményekre összpontosítják.
Ezek a szűrők használhatók közvetlenül a GHAS-riasztások szűrésére, vagy a kampányokon keresztüli ütemezett rangsorolás folytatására.
A GitHub-problémák javítása, az előrehaladás és a kampány előrehaladása valós időben nyomon követhető. Az állapotok a GitHubon és a Defender for Cloudban is megjelennek.
Ez a megközelítés biztosítja a javítások gyors kézbesítését, egyértelmű elszámoltathatóságot és egyszerűsíti az együttműködést. Ezek az előnyök a csapatok által már használt eszközökben jelentkeznek.