Mengaktifkan anotasi permintaan pull di GitHub dan Azure DevOps
Keamanan DevOps mengekspos temuan keamanan sebagai anotasi dalam Permintaan Pull (PR). Operator keamanan dapat mengaktifkan anotasi PR di Microsoft Defender untuk Cloud. Setiap masalah yang terekspos dapat diperbaiki oleh pengembang. Proses ini dapat mencegah dan memperbaiki potensi kerentanan keamanan dan kesalahan konfigurasi sebelum memasuki tahap produksi. Keamanan DevOps menganotasi kerentanan dalam perbedaan yang diperkenalkan selama permintaan pull daripada semua kerentanan yang terdeteksi di seluruh file. Pengembang dapat melihat anotasi dalam sistem manajemen kode sumber mereka dan operator Keamanan dapat melihat temuan yang belum terselesaikan di Microsoft Defender untuk Cloud.
Dengan Microsoft Defender untuk Cloud, Anda dapat mengonfigurasi anotasi PR di Azure DevOps. Anda bisa mendapatkan anotasi PR di GitHub jika Anda adalah pelanggan GitHub Advanced Security.
Apa itu anotasi permintaan pull
Anotasi permintaan pull adalah komentar yang ditambahkan ke permintaan pull di GitHub atau Azure DevOps. Anotasi ini memberikan umpan balik tentang perubahan kode yang dibuat dan mengidentifikasi masalah keamanan dalam permintaan pull dan membantu peninjau memahami perubahan yang dibuat.
Anotasi dapat ditambahkan oleh pengguna dengan akses ke repositori, dan dapat digunakan untuk menyarankan perubahan, mengajukan pertanyaan, atau memberikan umpan balik tentang kode. Anotasi juga dapat digunakan untuk melacak masalah dan bug yang perlu diperbaiki sebelum kode digabungkan ke cabang utama. Keamanan DevOps di Defender untuk Cloud menggunakan anotasi untuk menampilkan temuan keamanan.
Prasyarat
Untuk GitHub:
- Akun Azure. Jika Anda belum memiliki akun Azure, Anda dapat membuat akun gratis Azure sekarang.
- Jadilah pelanggan GitHub Advanced Security .
- Koneksi repositori GitHub Anda untuk Microsoft Defender untuk Cloud.
- Konfigurasikan tindakan GitHub Microsoft Security DevOps.
Untuk Azure DevOps:
- Akun Azure. Jika Anda belum memiliki akun Azure, Anda dapat membuat akun gratis Azure sekarang.
- Memiliki akses tulis (pemilik/kontributor) ke langganan Azure.
- Koneksi repositori Azure DevOps Anda untuk Microsoft Defender untuk Cloud.
- Konfigurasikan ekstensi Microsoft Security DevOps Azure DevOps.
Mengaktifkan anotasi permintaan pull di GitHub
Dengan mengaktifkan anotasi permintaan pull di GitHub, pengembang Anda mendapatkan kemampuan untuk melihat masalah keamanan mereka saat membuat PR langsung ke cabang utama.
Untuk mengaktifkan anotasi permintaan pull di GitHub:
Navigasi ke GitHub dan masuk.
Pilih repositori yang telah Anda onboarding untuk Defender untuk Cloud.
Navigasi ke
Your repository's home page
>.github/workflows.Pilih msdevopssec.yml, yang dibuat dalam prasyarat.
Pilih edit.
Temukan dan perbarui bagian pemicu untuk menyertakan:
# Triggers the workflow on push or pull request events but only for the main branch pull_request: branches: ["main"]
Anda juga dapat melihat repositori sampel.
(Opsional) Anda dapat memilih cabang mana yang ingin Anda jalankan dengan memasukkan cabang di bawah bagian pemicu. Jika Anda ingin menyertakan semua cabang, hapus baris dengan daftar cabang.
Pilih Mulai terapkan.
Pilih Terapkan perubahan.
Masalah apa pun yang ditemukan oleh pemindai akan dapat dilihat di bagian File yang diubah dari permintaan pull Anda.
- Digunakan dalam pengujian - Pemberitahuan tidak ada dalam kode produksi.
Mengaktifkan anotasi permintaan pull di Azure DevOps
Dengan mengaktifkan anotasi permintaan pull di Azure DevOps, pengembang Anda mendapatkan kemampuan untuk melihat masalah keamanan mereka saat membuat PR langsung ke cabang utama.
Mengaktifkan kebijakan Validasi Build untuk BUILD CI
Sebelum Anda dapat mengaktifkan anotasi permintaan pull, cabang utama Anda harus mengaktifkan kebijakan Validasi Build untuk CI Build.
Untuk mengaktifkan kebijakan Validasi Build untuk CI Build:
Masuk ke proyek Azure DevOps.
Navigasi ke Repositori pengaturan>Proyek.
Pilih repositori untuk mengaktifkan permintaan pull.
Pilih Kebijakan.
Buka Cabang Utama Kebijakan>Cabang.
Temukan bagian Validasi Build.
Pastikan validasi build untuk repositori Anda dialihkan ke Aktif.
Pilih Simpan.
Setelah menyelesaikan langkah-langkah ini, Anda dapat memilih alur build yang Anda buat sebelumnya dan menyesuaikan pengaturannya agar sesuai dengan kebutuhan Anda.
Aktifkan anotasi permintaan pull
Untuk mengaktifkan anotasi permintaan pull di Azure DevOps:
Masuk ke portal Azure.
Navigasikan ke keamanan Defender untuk Cloud> DevOps.
Pilih semua repositori yang relevan untuk mengaktifkan anotasi permintaan pull.
Pilih Kelola sumber daya.
Alihkan anotasi permintaan pull ke Aktif.
(Opsional) Pilih kategori dari menu drop-down.
Catatan
Hanya kesalahan konfigurasi Infrastruktur sebagai Kode (ARM, Bicep, Terraform, CloudFormation, Dockerfiles, Bagan Helm, dan lainnya) yang saat ini didukung.
(Opsional) Pilih tingkat keparahan dari menu drop-down.
Pilih Simpan.
Semua anotasi pada permintaan pull Anda akan ditampilkan mulai sekarang berdasarkan konfigurasi Anda.
Untuk mengaktifkan anotasi permintaan pull untuk Proyek dan Organisasi saya di Azure DevOps:
Anda dapat melakukan ini secara terprogram dengan memanggil Update Azure DevOps Resource API yang mengekspos Microsoft. Penyedia Sumber Daya Keamanan.
Info API:
Metode Http: URL PATCH:
- Pembaruan Proyek Azure DevOps:
https://management.azure.com/subscriptions/<subId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Security/securityConnectors/<connectorName>/devops/default/azureDevOpsOrgs/<adoOrgName>/projects/<adoProjectName>?api-version=2023-09-01-preview
- Pembaruan Azure DevOps Org]:
https://management.azure.com/subscriptions/<subId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Security/securityConnectors/<connectorName>/devops/default/azureDevOpsOrgs/<adoOrgName>?api-version=2023-09-01-preview
Isi Permintaan:
{
"properties": {
"actionableRemediation": {
"state": <ActionableRemediationState>,
"categoryConfigurations":[
{"category": <Category>,"minimumSeverityLevel": <Severity>}
]
}
}
}
Parameter / Opsi Tersedia
<ActionableRemediationState>
Deskripsi: Status Opsi Konfigurasi Anotasi PR: Diaktifkan | Tamu penyandang cacat
<Category>
Deskripsi: Kategori Temuan yang akan dianotasi pada permintaan pull.
Opsi: IaC | Kode | Artefak | Dependensi | Catatan Kontainer: Hanya IaC yang didukung saat ini
<Severity>
Deskripsi: Tingkat keparahan minimum temuan yang akan dipertimbangkan saat membuat anotasi PR.
Opsi: Tinggi | Sedang | Rendah
Contoh mengaktifkan Anotasi PR Azure DevOps Org untuk kategori IaC dengan tingkat keparahan minimum Medium menggunakan alat az cli.
Perbarui Org:
az --method patch --uri https://management.azure.com/subscriptions/4383331f-878a-426f-822d-530fb00e440e/resourcegroups/myrg/providers/Microsoft.Security/securityConnectors/myconnector/devops/default/azureDevOpsOrgs/testOrg?api-version=2023-09-01-preview --body "{'properties':{'actionableRemediation':{'state':'Enabled','categoryConfigurations':[{'category':'IaC','minimumSeverityLevel':'Medium'}]}}}
Contoh mengaktifkan Anotasi PR Proyek Azure DevOps untuk kategori IaC dengan tingkat keparahan minimum Tinggi menggunakan alat az cli.
Perbarui Proyek:
az --method patch --uri https://management.azure.com/subscriptions/4383331f-878a-426f-822d-530fb00e440e/resourcegroups/myrg/providers/Microsoft.Security/securityConnectors/myconnector/devops/default/azureDevOpsOrgs/testOrg/projects/testProject?api-version=2023-09-01-preview --body "{'properties':{'actionableRemediation':{'state':'Enabled','categoryConfigurations':[{'category':'IaC','minimumSeverityLevel':'High'}]}}}"
Pelajari lebih lanjut
- Pelajari selengkapnya tentang keamanan DevOps.
- Pelajari selengkapnya tentang keamanan DevOps di Infrastruktur sebagai Kode.
Langkah berikutnya
Sekarang pelajari selengkapnya tentang keamanan DevOps.