Domande comuni su DevOps Security

Quando si seleziona il pulsante Autorizza , viene usato l'account con cui si è connessi. L'account può avere lo stesso messaggio di posta elettronica, ma potrebbe avere un tenant diverso. Assicurarsi di avere selezionato la combinazione di account/tenant corretta nella schermata di consenso pop-up e in Visual Studio.

È possibile controllare l'account connesso.

L'onboarding della sicurezza di Defender per il cloud DevOps supporta solo il tipo di TfsGitrepository . Il tipo di TFSVC repository non è attualmente supportato.

Assicurarsi di aver eseguito l'onboarding dei repository per Microsoft Defender per il cloud. Se non è ancora possibile visualizzare il repository, assicurarsi di aver eseguito l'accesso con l'account utente dell'organizzazione Azure DevOps corretto. La sottoscrizione di Azure e l'organizzazione Di Azure DevOps devono trovarsi nello stesso tenant. Se l'utente per il connettore non è corretto, è necessario eliminare il connettore creato in precedenza, accedere con l'account utente corretto e ricreare il connettore.

Se il file SARIF non viene visualizzato nel percorso previsto, è possibile che sia stato scelto un percorso di rilascio diverso da CodeAnalysisLogs/msdo.sarif quello. Attualmente è consigliabile eliminare i file SARIF in CodeAnalysisLogs/msdo.sarif.

Quando si usa la configurazione della pipeline classica, assicurarsi di non modificare il nome dell'artefatto. Ciò può comportare la mancata visualizzazione dei risultati per il progetto. Altre informazioni su come esaminare i risultati.

È consigliabile passare al riquadro DevOps Security per visualizzare una panoramica del comportamento di sicurezza devOps. È possibile ordinare e filtrare in base alla risorsa DevOps desiderata per visualizzare i dettagli delle raccomandazioni.

È anche possibile usare la cartella di lavoro di DevOps e personalizzarla in base alle proprie esigenze.

Le funzionalità di sicurezza devOps si connettono al sistema di gestione del codice sorgente, ad esempio Azure DevOps, GitHub e/o GitLab per fornire una console centrale per le risorse DevOps e il comportamento di sicurezza. Le funzionalità di sicurezza devOps elaborano e archivia le informazioni seguenti:

• Metadati nei sistemi di gestione del codice sorgente connesso e nei repository associati. Questi dati includono informazioni sull'utente, sull'organizzazione e sull'autenticazione.

• Analizzare i risultati per ottenere consigli e dettagli.

Le funzionalità di sicurezza di DevOps fanno parte di Microsoft Defender per il cloud. Fare riferimento alle indicazioni seguenti sulla residenza dei dati e ai dettagli sui limiti dei dati dell'UE in relazione al servizio Microsoft Defender per il cloud.

La sicurezza devOps non elabora o archivia il codice, compila e registra i log di controllo, ma potrebbe in futuro espanderne le funzionalità.

Altre informazioni sull'Informativa sulla privacy di Microsoft.

Queste autorizzazioni sono necessarie per determinate funzionalità di sicurezza di DevOps, ad esempio le annotazioni delle richieste pull, per il funzionamento.

Le esenzioni non sono disponibili per le raccomandazioni sulla sicurezza di DevOps entro Microsoft Defender per il cloud al momento.

Verificare che i connettori siano autorizzati correttamente.

Assicurarsi di usare lo stesso ID sottoscrizione per GHAzDO e Defender per il cloud. Se non è ancora possibile visualizzare i risultati, il problema potrebbe essere causato dal connettore ADO senza l'ambito necessario. La sicurezza devOps ha introdotto nuovi ambiti per i connettori Azure DevOps nel mese di giugno. Se il connettore è stato creato prima di giugno e non è stato aggiornato, non sarà possibile visualizzare i risultati di GHAzDO a causa dell'ambito mancante nel connettore. È necessario creare un nuovo connettore ADO, che includerà automaticamente i nuovi ambiti.

Verificare che le autorizzazioni utente per Microsoft Defender per DevOps siano Advanced Security: view alerts e Read impostate su Allow. Queste autorizzazioni potrebbero essere state modificate se l'interruttore "Ereditarietà" è stato disattivato. Se le autorizzazioni necessarie sono impostate su Not set o Deny, dovranno essere aggiornate manualmente in Allow caso contrario i risultati di GHAzDO non verranno visualizzati nelle raccomandazioni Defender per il cloud.

Attualmente, l'analisi viene eseguita in fase di compilazione.

Assicurarsi di avere accesso in scrittura (proprietario/collaboratore) alla sottoscrizione. Se attualmente non si ha questo tipo di accesso, è possibile ottenerlo tramite l'attivazione di un ruolo Microsoft Entra in PIM.

Le lingue seguenti sono supportate dalle funzionalità di sicurezza di DevOps:

• Python
• JavaScript
• TypeScript

Per un elenco delle lingue supportate da GitHub Advanced Security, vedere qui.

Ad esempio, è possibile eseguire la migrazione del connettore dall'area Stati Uniti centrali all'area Europa occidentale?

Al momento non è supportata la migrazione automatica per i connettori di sicurezza DevOps da un'area a un'altra.

Se si vuole spostare la posizione di un connettore DevOps in un'area diversa, è consigliabile eliminare il connettore esistente e quindi ricreare il connettore nella nuova area.

Sì, le chiamate API effettuate da Defender per il cloud conteggio rispetto al limite di consumo globale di Azure DevOps. Defender per il cloud effettua chiamate per conto dell'utente che esegue l'onboarding del connettore.

Se l'elenco di organizzazioni è vuoto nell'interfaccia utente dopo l'onboarding di un connettore Azure DevOps, è necessario assicurarsi che l'organizzazione in Azure DevOps sia connessa al tenant di Azure con l'utente che ha autenticato il connettore.

Per informazioni su come risolvere questo problema, vedere la guida alla risoluzione dei problemi di DevOps.

Sì, non esiste alcun limite al numero di repository Di Azure DevOps di cui è possibile eseguire l'onboarding per le funzionalità di sicurezza devOps.

Tuttavia, esistono due implicazioni principali quando si esegue l'onboarding di organizzazioni di grandi dimensioni: velocità e limitazione. La velocità di individuazione per i repository DevOps è determinata dal numero di progetti per ogni connettore (circa 100 progetti all'ora). La limitazione può verificarsi perché le chiamate API di Azure DevOps hanno un limite di frequenza globale e vengono limitate le chiamate all'individuazione del progetto per usare una piccola parte dei limiti complessivi di quota.

Prendere in considerazione l'uso di un'identità azure DevOps alternativa, ovvero un account dell'organizzazione Amministrazione istrator usato come account del servizio, per evitare che singoli account vengano limitati durante l'onboarding di organizzazioni di grandi dimensioni. Di seguito sono riportati alcuni scenari di quando usare un'identità alternativa per eseguire l'onboarding di un connettore di sicurezza DevOps:

• Numero elevato di organizzazioni e progetti Azure DevOps (circa 500 progetti).
• Numero elevato di compilazioni simultanee che si verificano durante l'orario di lavoro.
• L'utente autorizzato è un utente di Power Platform che effettua chiamate all'API Azure DevOps aggiuntive, usando le quote di limite di velocità globali.

Dopo aver eseguito l'onboarding dei repository di Azure DevOps usando questo account ed eseguito l'estensione Microsoft Security DevOps di Azure DevOps nella pipeline CI/CD, i risultati dell'analisi verranno visualizzati quasi istantaneamente in Microsoft Defender per il cloud.

Passaggi successivi

Altre informazioni sulla sicurezza di DevOps