Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Defender for Cloud CLI is een opdrachtregelprogramma voor ontwikkelaars dat beveiligingsscans in CI/CD-pijplijnen en op ontwikkelaarsterminals organiseert. Het uploadt resultaten naar Microsoft Defender voor Cloud voor postuurbeheer, context voor code-naar-runtime, prioriteitstelling en tracering. Het versnelt veilige levering met minimale installatie, gebruiksvriendelijke opdrachtregelopties en bruikbare richtlijnen waarmee teams problemen snel kunnen oplossen zonder stroom te breken.
Wat de Defender for Cloud CLI doet
Beveiligingsscans overal uitvoeren: U kunt scans starten vanaf uw laptop of elk CI/CD-pijplijnsysteem (zoals GitHub Actions, Azure DevOps, Jenkins, Bitbucket en meer). Het hulpprogramma vereist minimale configuratie: één uitvoerbaar bestand, verstandige standaardinstellingen en gestroomlijnde verificatie.
Scanners samenvoegen met één hulpmiddel: Beheer meerdere beveiligingsengines (bijvoorbeeld analyse van containerinstallatiekopieën en meer naarmate deze beschikbaar komen) met consistente uitvoer- en afsluitcodes waarmee pijplijn gating en automatisering worden geoptimaliseerd.
Bevindingen uploaden naar Defender for Cloud: Resultaten komen op één plaats terecht waar beveiligingsteams inzicht krijgen in code-to-runtime, context van aanvalspad en standaardaanbevelingsinhoud om zich te richten op wat belangrijk is.
Gebouwd voor ontwikkelaarservaring: Biedt duidelijke hulp, beknopte console-uitvoer en herstelrichtlijnen die zijn afgestemd op de werking van ontwikkelaars (pijplijnen, terminals en pull-aanvragen).
Hoe deze in uw werkstroom past
- U installeert en authenticeert in uw CI/CD-pijplijn of lokaal.
- U scant de afbeelding waaraan u werkt.
- U bekijkt de resultaten in de console, exporteert indien nodig en uploadt naar Defender for Cloud.
Authenticatie
Defender for Cloud CLI biedt ondersteuning voor twee verificatiemethoden om te worden afgestemd op beveiligingsprocedures voor ondernemingen. De eerste en voorkeursmethode is verificatie op basis van connectors, momenteel beschikbaar voor Azure DevOps en GitHub. Door een connector tot stand te brengen tussen deze broncodebeheerbeheerders en Defender for Cloud, wordt verificatie automatisch afgehandeld, waardoor tokens niet meer hoeven te worden toegevoegd aan pijplijnen. De tweede methode is verificatie op basis van tokens, waarbij beveiligingsbeheerders tokens maken in de Microsoft Defender voor Cloud-portal en deze configureren als omgevingsvariabelen in CI/CD-pijplijnen of lokale terminals. Deze aanpak biedt flexibiliteit in buildsystemen en maakt gerichte bereikmogelijkheden mogelijk per abonnement. Zie Verificatie voor gedetailleerde stappen en voorbeelden.
CI/CD-integratie
De Defender for Cloud CLI is platformneutraal en werkt als u een systeemeigen connector of verificatietokens gebruikt. Teams kunnen dit geleidelijk toepassen, YAML optimaliseren met standaardwaarden en afhankelijk zijn van stabiele, consistente afsluitcodes om controles af te sluiten. Voorbeelden en Marketplace-vermeldingen (Azure DevOps-taak) maken deel uit van de standaardimplementatie om onboarding te versnellen. Zie CI/CD-integratie voor gedetailleerde stappen en voorbeelden.
Ontwerp van opdrachtreferentie
Defender voor Cloud CLI-syntaxis volgt een eenvoudig referentiepatroonname - command - parameter - parameter value. U kunt bijvoorbeeld als volgt een container scannen:
defender scan image myregistry.azurecr.io/app:build-123
Zie Syntaxis voor gedetailleerde naslaginformatie.
Resultaten en herstel
- Biedt leesbare console-uitvoer met problemen en volgende stappen voor herstel.
- Wanneer deze wordt aangeroepen vanuit CI/CD-pijplijnen, worden resultaten geüpload naar Defender for Cloud, waarbij bevindingen worden weergegeven in assetinventarisaties, aanbevelingen en aanvalspaden met runtimecontext (bijvoorbeeld blootstelling aan internet en betrokken workloads).
Zie Resultaten beoordelen om de resultaten te controleren.
Zichtbaarheid van code-naar-runtime
Wanneer bevindingen worden geüpload, modelleert Defender voor Cloud de relaties tussen repository, pipeline, image en runtime resources, zodat beveiligingsteams zich kunnen richten op de juiste eigenaren, het effectgebied kunnen begrijpen en herstelmaatregelen op risico kunnen afstemmen. Voor meer informatie, zie Toewijzing van containerafbeeldingen.
Migratie van MSDO CLI
Als u de verouderde MSDO CLI (Microsoft Security DevOps) gebruikt, kunt u overwegen om over te stappen naar de Defender for Cloud CLI om het volgende te krijgen:
Containerscanning ondersteund door MDVM (Microsoft Container Security Scanner), waarbij Trivy-imagescanning in pijplijnen wordt vervangen.
Verbeterde ervaring voor gebruikersontwikkelaars (lokaal en in CI uitvoeren met opdrachtregelopties).
Een toekomstbestendige route als nieuwe scanners worden georkestreerd door Defender for Cloud CLI. MSDO CLI blijft in onderhoudsondersteuning.