DevOps 보안과 관련된 일반적인 질문

권한 부여 단추를 선택하면 로그인한 계정이 사용됩니다. 해당 계정은 이메일이 동일할 수 있지만 테넌트는 다를 수 있습니다. 팝업 동의 화면 및 Visual Studio에서 올바른 계정/테넌트 조합을 선택했는지 확인하십시오.

로그인한 계정을 검사할 수 있습니다.

클라우드용 Defender DevOps 보안 온보딩은 리포지토리 유형 TfsGit을 지원합니다. 리포지토리 형식 TFSVC는 현재 지원되지 않습니다.

클라우드용 Microsoft Defender에 리포지토리를 온보딩했는지 확인합니다. 여전히 리포지토리가 보이지 않으면 올바른 Azure DevOps 조직 사용자 계정을 사용해 로그인했는지 확인합니다. Azure 구독과 Azure DevOps 조직이 동일 테넌트에 위치해 있어야 합니다. 커넥터의 사용자가 잘못된 경우 이전에 만든 커넥터를 삭제하고 올바른 사용자 계정으로 로그인한 다음 커넥터를 다시 만들어야 합니다.

예상 경로에 SARIF 파일이 표시되지 않은 경우 CodeAnalysisLogs/msdo.sarif에 있는 것과 다른 드롭 경로를 선택했기 때문일 수 있습니다. 현재 SARIF 파일을 CodeAnalysisLogs/msdo.sarif에 드롭해야 합니다.

클래식 파이프라인 구성을 사용하는 경우 아티팩트 이름을 변경하지 않도록 합니다. 이것 때문에 프로젝트의 결과가 표시되지 않을 수 있습니다. 결과 검토 방법에 대해 자세히 알아볼 수 있습니다.

DevOps 보안 창으로 이동하여 DevOps 보안 태세에 대한 개요를 확인하는 것이 좋습니다. 권장 사항 세부 정보를 자세히 살펴보려는 DevOps 리소스를 기준으로 정렬하고 필터링할 수 있습니다.

DevOps 통합 문서를 사용하여 필요에 맞게 사용자 지정할 수도 있습니다.

DevOps 보안 기능은 소스 코드 관리 시스템(예: Azure DevOps, GitHub 및/또는 GitLab)에 연결하여 DevOps 리소스 및 보안 태세에 대한 중앙 콘솔을 제공합니다. DevOps 보안 기능은 다음 정보를 처리하고 저장합니다.

• 연결된 소스 코드 관리 시스템 및 연결된 리포지토리의 메타데이터. 이 데이터에는 사용자, 조직, 인증 정보가 포함됩니다.

• 결과에서 권장 사항 및 세부 정보를 검색합니다.

DevOps 보안 기능은 클라우드용 Microsoft Defender의 일부로 제공됩니다. 다음 데이터 보존 지침 및 클라우드용 Microsoft Defender 서비스와 관련된 EU 데이터 경계 세부 정보를 참조하세요.

DevOps 보안은 현재 코드, 빌드 및 감사 로그를 처리하거나 저장하지 않지만 향후 기능이 확장되면 가능할 수도 있습니다.

Microsoft 개인정보처리방침에 대해 자세히 알아보세요.

끌어오기 요청 주석 같은 특정 DevOps 보안 기능에 이러한 권한이 필요합니다.

지금은 클라우드용 Microsoft Defender의 DevOps 보안 권장 사항에 예외를 사용할 수 없습니다.

커넥터가 적절하게 권한 부여되었는지 확인합니다.

GHAzDO와 클라우드용 Defender에 대해 동일한 구독 ID를 사용하고 있는지 확인합니다. 여전히 결과가 표시되지 않는 경우 ADO 커넥터에 필요한 범위가 부족하여 문제가 발생한 것일 수 있습니다. DevOps 보안은 6월에 Azure DevOps 커넥터에 새로운 범위를 도입했습니다. 6월 이전에 커넥터를 만들었으나 업데이트하지 않은 경우 커넥터의 범위가 누락되어 GHAzDO 결과를 볼 수 없습니다. 새 범위를 자동으로 포함하는 새 ADO 커넥터를 만들어야 합니다.

DevOps용 Microsoft Defender에 대한 사용자 권한이 Advanced Security: view alerts 및 Read가 Allow로 설정되어 있는지 확인합니다. "상속" 토글이 꺼진 경우 이러한 권한이 변경되었을 수 있습니다. 필요한 권한이 Not set 또는 Deny로 설정된 경우 수동으로 Allow로 업데이트해야 합니다. 그렇지 않으면 GHAzDO 결과가 클라우드용 Defender 권장 사항에 표시되지 않습니다.

현재는 빌드 시에 검사가 수행됩니다.

구독에 쓰기(소유자/기여자) 액세스 권한이 있는지 확인합니다. 지금 이러한 유형의 액세스 권한이 없는 경우 PIM에서 Microsoft Entra 역할을 활성화하여 액세스할 수 있습니다.

다음 언어는 DevOps 보안 기능에서 지원됩니다.

• Python
• JavaScript
• TypeScript

GitHub Advanced Security에서 지원하는 언어 목록은 여기를 참조하세요.

예를 들어, 커넥터를 미국 중부 지역에서 서유럽 지역으로 마이그레이션할 수 있나요?

현재는 DevOps 보안 커넥터를 한 지역에서 다른 지역으로 자동으로 마이그레이션할 수 없습니다.

DevOps 커넥터의 위치를 다른 지역으로 이동하려면 기존 커넥터를 삭제한 다음 새 지역에서 커넥터를 다시 만드는 것이 좋습니다.

예, 클라우드용 Defender에서 수행한 API 호출은 Azure DevOps 글로벌 사용량 한도에 포함됩니다. 클라우드용 Defender는 커넥터를 온보딩하는 사용자를 대신하여 호출합니다.

Azure DevOps 커넥터를 온보딩한 후 UI에서 조직 목록이 비어 있는 경우 Azure DevOps의 조직이 커넥터를 인증한 사용자가 있는 Azure 테넌트에 연결되어 있는지 확인해야 합니다.

이 문제를 해결하는 방법에 대한 자세한 내용은 DevOps 문제 해결 가이드를 확인하세요.

예, DevOps 보안 기능에 온보딩할 수 있는 Azure DevOps 리포지토리 수에는 제한이 없습니다.

그러나 대규모 조직을 온보딩할 때는 속도와 제한이라는 두 가지 기본 의미가 함축되어 있습니다. DevOps 리포지토리의 검색 속도는 각 커넥터의 프로젝트 수(시간당 약 100개 프로젝트)에 따라 결정됩니다. Azure DevOps API 호출에는 전역 속도 제한이 있고 전체 할당량 한도 중 작은 부분을 사용하도록 프로젝트 검색 호출을 제한하기 때문에 제한 작업이 발생할 수 있습니다.

대규모 조직을 온보딩할 때 개별 계정이 제한되지 않도록 대체 Azure DevOps ID(즉, 서비스 계정으로 사용되는 조직 관리자 계정)를 사용하는 것이 좋습니다. 다음은 대체 ID를 사용하여 DevOps 보안 커넥터를 온보딩하는 경우에 대한 몇 가지 시나리오입니다.

• 많은 수의 Azure DevOps 조직 및 프로젝트(500개 이상 프로젝트)
• 업무 시간 동안 최대에 도달하는 많은 수의 동시 빌드
• 권한 있는 사용자는 전역 속도 제한 할당량을 사용하여 추가 Azure DevOps API 호출을 수행하는 Power Platform 사용자입니다.

이 계정을 사용하여 Azure DevOps 리포지토리를 온보딩하고 CI/CD 파이프라인에서 Microsoft Security DevOps Azure DevOps 확장을 구성하고 실행하면 검사 결과가 거의 즉시 클라우드용 Microsoft Defender에 표시됩니다.

다음 단계

DevOps 보안에 대해 자세히 알아보기