Mengonfigurasi tindakan GitHub Microsoft Security DevOps
Microsoft Security DevOps adalah aplikasi baris perintah yang mengintegrasikan alat analisis statis ke dalam siklus hidup pengembangan. Azure Security DevOps menginstal, mengonfigurasi, dan menjalankan versi terbaru alat analisis statis seperti, SDL, alat keamanan dan kepatuhan. Azure Security DevOps digerakkan oleh data dengan konfigurasi portabel yang memungkinkan eksekusi deterministik di beberapa lingkungan.
Microsoft Security DevOps menggunakan alat Sumber Terbuka berikut:
| Nama | Bahasa | Lisensi |
|---|---|---|
| Antimalware | Perlindungan AntiMalware di Windows dari Microsoft Defender untuk Titik Akhir, yang memindai malware dan merusak build jika malware telah ditemukan. Alat ini memindai secara default pada agen windows-terbaru. | Bukan Sumber Terbuka |
| Bandit | Python | Lisensi Apache 2.0 |
| BinSkim | Biner--Windows, ELF | Lisensi MIT |
| Checkov | Terraform, Terraform plan, CloudFormation, AWS SAM, Kubernetes, Bagan Helm, Kustomize, Dockerfile, Serverless, Bicep, OpenAPI, ARM | Lisensi Apache 2.0 |
| ESlint | JavaScript | Lisensi MIT |
| Penganalisis Templat | Templat ARM, Bicep | Lisensi MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Lisensi Apache 2.0 |
| Trivy | gambar kontainer, Infrastruktur sebagai Kode (IaC) | Lisensi Apache 2.0 |
Prasyarat
Langganan Azure, jika Anda belum memiliki langganan Azure, buat akun gratis sebelum memulai.
Koneksi repositori GitHub Anda.
Ikuti panduan untuk menyiapkan GitHub Advanced Security untuk melihat penilaian postur DevOps di Defender untuk Cloud.
Buka tindakan GitHub Microsoft Security DevOps di jendela baru.
Pastikan bahwa izin Alur Kerja diatur ke Baca dan Tulis di repositori GitHub. Ini termasuk mengatur izin "id-token: tulis" di Alur Kerja GitHub untuk federasi dengan Defender untuk Cloud.
Mengonfigurasi tindakan GitHub Microsoft Security DevOps
Untuk menyiapkan tindakan GitHub:
Masuk ke GitHub.
Pilih repositori tempat Anda ingin mengonfigurasi tindakan GitHub.
Pilih Tindakan.
Pilih Alur kerja baru.
Pada halaman Mulai menggunakan GitHub Actions, pilih siapkan alur kerja sendiri
Dalam kotak teks, masukkan nama untuk file alur kerja Anda. Contohnya,
msdevopssec.yml.
Salin dan tempel alur kerja tindakan sampel berikut ke tab Edit file baru.
name: MSDO on: push: branches: - master jobs: sample: name: Microsoft Security DevOps # MSDO runs on windows-latest. # ubuntu-latest also supported runs-on: windows-latest permissions: contents: read id-token: write actions: read security-events: write steps: # Checkout your code repository to scan - uses: actions/checkout@v3 # Run analyzers - name: Run Microsoft Security DevOps Analysis uses: microsoft/security-devops-action@latest id: msdo # with: # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig'). # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub. # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all. # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all. # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'. # Upload alerts to the Security tab - name: Upload alerts to Security tab uses: github/codeql-action/upload-sarif@v2 with: sarif_file: ${{ steps.msdo.outputs.sarifFile }} # Upload alerts file as a workflow artifact - name: Upload alerts file as a workflow artifact uses: actions/upload-artifact@v3 with: name: alerts path: ${{ steps.msdo.outputs.sarifFile }}Catatan
Untuk opsi dan instruksi konfigurasi alat tambahan, lihat wiki Microsoft Security DevOps
Pilih Mulai penerapan
Pilih Terapkan file baru.
Prosesnya dapat memakan waktu hingga satu menit untuk diselesaikan.
Pilih Tindakan dan verifikasi bahwa tindakan baru sedang berjalan.
Lihat Hasil Pemindaian
Untuk melihat hasil pemindaian Anda:
Masuk ke GitHub.
Navigasi ke Alat pemberitahuan pemindaian>Kode Keamanan>.
Dari menu dropdown, pilih Filter menurut alat.
Temuan pemindaian kode akan difilter oleh alat MSDO tertentu di GitHub. Hasil pemindaian kode ini juga ditarik ke dalam rekomendasi Defender untuk Cloud.
Pelajari lebih lanjut
Pelajari tentang tindakan GitHub untuk Azure.
Pelajari cara menyebarkan aplikasi dari GitHub ke Azure.
Konten terkait
Pelajari selengkapnya tentang keamanan DevOps di Defender untuk Cloud.
Pelajari cara menyambungkan Organisasi GitHub Anda ke Defender untuk Cloud.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk