Aanbevelingen voor beveiliging voor DevOps-resources
Dit artikel bevat de aanbevelingen die u in Microsoft Defender voor Cloud kunt zien als u verbinding maakt met een Azure DevOps-, GitHub- of GitLab-omgeving met behulp van de pagina Omgevingsinstellingen. De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie.
Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt ondernemen als reactie op deze aanbevelingen.
Meer informatie over devOps-beveiligingsvoordelen en -functies.
DevOps-aanbevelingen hebben geen invloed op uw beveiligingsscore. Als u wilt bepalen welke aanbevelingen u het eerst wilt oplossen, bekijkt u de ernst van elke aanbeveling en de mogelijke impact ervan op uw beveiligingsscore.
Azure DevOps-aanbevelingen
Voor Azure DevOps-opslagplaatsen moet GitHub Advanced Security voor Azure DevOps (GHAzDO) zijn ingeschakeld
Beschrijving: DevOps-beveiliging in Defender voor Cloud maakt gebruik van een centrale console om beveiligingsteams de mogelijkheid te bieden om toepassingen en resources te beschermen tegen code naar de cloud in Azure DevOps. Met het inschakelen van Opslagplaatsen van GitHub Advanced Security for Azure DevOps (GHAzDO), waaronder GitHub Advanced Security voor Azure DevOps, krijgt u bevindingen over geheimen, afhankelijkheden en codeproblemen in uw Azure DevOps-opslagplaatsen die worden weergegeven in Microsoft Defender voor Cloud.
Ernst: Hoog
Azure DevOps-opslagplaatsen moeten geheime scanresultaten hebben opgelost
Beschrijving: Geheimen zijn gevonden in codeopslagplaatsen. Herstel onmiddellijk om een beveiligingsschending te voorkomen. Geheimen in opslagplaatsen kunnen lekken of worden gedetecteerd door kwaadwillende personen, wat leidt tot inbreuk op een toepassing of service. Het hulpprogramma voor het scannen van referenties van Microsoft Security DevOps scant alleen builds waarop het is geconfigureerd om uit te voeren. De resultaten weerspiegelen daarom mogelijk niet de volledige status van geheimen in uw opslagplaatsen.
Ernst: Hoog
Azure DevOps-opslagplaatsen moeten de resultaten van codescans hebben opgelost
Beschrijving: Beveiligingsproblemen zijn gevonden in codeopslagplaatsen. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen.
Ernst: gemiddeld
Azure DevOps-opslagplaatsen moeten afhankelijkheidsscanresultaten voor scannen op beveiligingsproblemen hebben opgelost
Beschrijving: Beveiligingsproblemen met afhankelijkheden gevonden in codeopslagplaatsen. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen.
Ernst: gemiddeld
Azure DevOps-opslagplaatsen moeten een infrastructuur hebben als het scannen van code is opgelost
Beschrijving: Problemen met de configuratie van infrastructuur als codebeveiliging gevonden in opslagplaatsen. De problemen zijn gedetecteerd in sjabloonbestanden. Om de beveiligingsstatus van de gerelateerde cloudresources te verbeteren, wordt het ten zeerste aanbevolen om deze problemen op te lossen.
Ernst: gemiddeld
Azure DevOps-pijplijnen mogen geen geheimen beschikbaar hebben voor builds van forks
Beschrijving: In openbare opslagplaatsen is het mogelijk dat personen van buiten de organisatie forks maken en builds uitvoeren op de geforkte opslagplaats. Als deze instelling is ingeschakeld, kunnen buitenstaanders in dat geval toegang krijgen tot het bouwen van pijplijngeheimen die bedoeld zijn om intern te zijn.
Ernst: Hoog
Azure DevOps-serviceverbindingen mogen geen toegang verlenen tot alle pijplijnen
Beschrijving: Serviceverbindingen worden gebruikt om verbindingen te maken van Azure Pipelines naar externe en externe services voor het uitvoeren van taken in een taak. Pijplijnmachtigingen bepalen welke pijplijnen zijn gemachtigd om de serviceverbinding te gebruiken. Ter ondersteuning van de beveiliging van de pijplijnbewerkingen mogen serviceverbindingen geen toegang krijgen tot alle YAML-pijplijnen. Dit helpt het principe van minimale bevoegdheden te behouden, omdat een beveiligingsprobleem in onderdelen die door één pijplijn worden gebruikt door een aanvaller kan worden gebruikt om andere pijplijnen aan te vallen met toegang tot kritieke resources.
Ernst: Hoog
Beveiligde Bestanden van Azure DevOps mogen geen toegang verlenen tot alle pijplijnen
Beschrijving: Met beveiligde bestanden kunnen ontwikkelaars bestanden opslaan die via pijplijnen kunnen worden gedeeld. Deze bestanden worden doorgaans gebruikt voor het opslaan van geheimen, zoals ondertekeningscertificaten en SSH-sleutels. Als een beveiligd bestand toegang krijgt tot alle YAML-pijplijnen, kan een onbevoegde gebruiker gegevens stelen uit de beveiligde bestanden door een YAML-pijplijn te bouwen en toegang te krijgen tot het beveiligde bestand.
Ernst: Hoog
Azure DevOps-variabelegroepen met geheime variabelen mogen geen toegang verlenen tot alle pijplijnen
Beschrijving: In variabele groepen worden waarden en geheimen opgeslagen die u mogelijk wilt doorgeven aan een YAML-pijplijn of die beschikbaar moeten worden gesteld voor meerdere pijplijnen. U kunt variabelengroepen in meerdere pijplijnen in hetzelfde project delen en gebruiken. Als een variabelegroep met geheimen is gemarkeerd als toegankelijk voor alle YAML-pijplijnen, kan een aanvaller de assets met de geheime variabelen misbruiken door een nieuwe pijplijn te maken.
Ernst: Hoog
Klassieke Azure DevOps-serviceverbindingen mogen niet worden gebruikt voor toegang tot een abonnement
Beschrijving: Gebruik het ARM-type serviceverbindingen (Azure Resource Manager) in plaats van klassieke Azure-serviceverbindingen om verbinding te maken met Azure-abonnementen. Het ARM-model biedt meerdere beveiligingsverbeteringen, waaronder sterker toegangsbeheer, verbeterde controle, op ARM gebaseerde implementatie/governance, toegang tot beheerde identiteiten en sleutelkluis voor geheimen, verificatie op basis van Entra-machtigingen en ondersteuning voor tags en resourcegroepen voor gestroomlijnd beheer.
Ernst: gemiddeld
(Preview) Azure DevOps-opslagplaatsen moeten resultaten voor API-beveiligingstests hebben opgelost
Beschrijving: BEVEILIGINGSproblemen in API's gevonden in codeopslagplaatsen. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen.
Ernst: gemiddeld
(Preview) Azure DevOps-opslagplaatsen moeten minimaal goedkeuring van twee revisoren vereisen voor codepushes
Beschrijving: Om te voorkomen dat onbedoelde of schadelijke wijzigingen rechtstreeks worden doorgevoerd, is het belangrijk om beveiligingsbeleid te implementeren voor de standaardbranch in Azure DevOps-opslagplaatsen. We raden u aan ten minste twee coderevisoren te verplichten om pull-aanvragen goed te keuren voordat de code wordt samengevoegd met de standaardbranch. Door goedkeuring van minimaal twee revisoren te vereisen, kunt u het risico op niet-geautoriseerde wijzigingen beperken, wat kan leiden tot systeeminstabiliteit of beveiligingsproblemen.
Deze aanbeveling wordt gegeven in Defender voor Cloud basisbeveiligingspostuur als u Azure DevOps hebt verbonden met Defender voor Cloud.
Ernst: Hoog
(Preview) Azure DevOps-opslagplaatsen mogen niet toestaan dat aanvragers hun eigen pull-aanvragen goedkeuren
Beschrijving: Om te voorkomen dat onbedoelde of schadelijke wijzigingen rechtstreeks worden doorgevoerd, is het belangrijk om beveiligingsbeleid te implementeren voor de standaardbranch in Azure DevOps-opslagplaatsen. Het is raadzaam om makers van pull-aanvragen te verbieden hun eigen inzendingen goed te keuren om ervoor te zorgen dat elke wijziging een objectieve beoordeling ondergaat door iemand anders dan de auteur. Door dit te doen, kunt u het risico op niet-geautoriseerde wijzigingen verminderen, wat kan leiden tot systeeminstabiliteit of beveiligingsproblemen.
Deze aanbeveling wordt gegeven in Defender voor Cloud basisbeveiligingspostuur als u Azure DevOps hebt verbonden met Defender voor Cloud.
Ernst: Hoog
(Preview) Voor Azure DevOps-projecten moet het maken van klassieke pijplijnen zijn uitgeschakeld
Beschrijving: Als u het maken van klassieke build- en release-pijplijnen uitschakelt, voorkomt u een beveiligingsprobleem dat voortvloeit uit YAML en klassieke pijplijnen die dezelfde resources delen, bijvoorbeeld dezelfde serviceverbindingen. Potentiële aanvallers kunnen gebruikmaken van klassieke pijplijnen om processen te maken die typische verdedigingsmechanismen omzeilen die zijn ingesteld rond moderne YAML-pijplijnen.
Ernst: Hoog
Aanbevelingen voor GitHub
GitHub-organisaties mogen actiegeheimen niet toegankelijk maken voor alle opslagplaatsen
Beschrijving: Voor geheimen die worden gebruikt in GitHub Action-werkstromen die zijn opgeslagen op gitHub-organisatieniveau, kunt u toegangsbeleid gebruiken om te bepalen welke opslagplaatsen organisatiegeheimen kunnen gebruiken. Met geheimen op organisatieniveau kunt u geheimen delen tussen meerdere opslagplaatsen. Dit vermindert de noodzaak om dubbele geheimen te maken. Zodra een geheim echter toegankelijk is gemaakt voor een opslagplaats, heeft iedereen met schrijftoegang in de opslagplaats toegang tot het geheim vanuit elke vertakking in een werkstroom. Als u het kwetsbaarheid voor aanvallen wilt verminderen, moet u ervoor zorgen dat het geheim alleen toegankelijk is vanuit geselecteerde opslagplaatsen.
Deze aanbeveling wordt gegeven in Defender voor Cloud basisbeveiligingspostuur als u Azure DevOps hebt verbonden met Defender voor Cloud.
Ernst: Hoog
Voor GitHub-opslagplaatsen moet geheimscans zijn ingeschakeld
Beschrijving: GitHub scant opslagplaatsen voor bekende typen geheimen om frauduleus gebruik van geheimen te voorkomen die per ongeluk zijn doorgevoerd in opslagplaatsen. Scannen van geheimen scant de volledige Git-geschiedenis op alle vertakkingen die aanwezig zijn in de GitHub-opslagplaats voor geheimen. Voorbeelden van geheimen zijn tokens en persoonlijke sleutels die een serviceprovider kan uitgeven voor verificatie. Als een geheim is ingecheckt in een opslagplaats, kan iedereen die leestoegang tot de opslagplaats heeft, het geheim gebruiken om toegang te krijgen tot de externe service met deze bevoegdheden. Geheimen moeten worden opgeslagen op een toegewezen, veilige locatie buiten de opslagplaats voor het project.
Ernst: Hoog
Voor GitHub-opslagplaatsen moet codescans zijn ingeschakeld
Beschrijving: GitHub gebruikt codescans om code te analyseren om beveiligingsproblemen en fouten in code te vinden. Codescans kunnen worden gebruikt voor het vinden, classificeren en prioriteren van oplossingen voor bestaande problemen in uw code. Codescans kunnen ook voorkomen dat ontwikkelaars nieuwe problemen introduceren. Scans kunnen worden gepland voor specifieke dagen en tijden, of scans kunnen worden geactiveerd wanneer een specifieke gebeurtenis plaatsvindt in de opslagplaats, zoals een push. Als codescans een mogelijk beveiligingsprobleem of een mogelijke fout in code vinden, wordt in GitHub een waarschuwing weergegeven in de opslagplaats. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project te beschadigen.
Ernst: gemiddeld
Voor GitHub-opslagplaatsen moet het scannen van Dependabot zijn ingeschakeld
Beschrijving: GitHub verzendt Dependabot-waarschuwingen wanneer beveiligingsproblemen in codeafhankelijkheden worden gedetecteerd die van invloed zijn op opslagplaatsen. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project of andere projecten die de bijbehorende code gebruiken, te beschadigen. Beveiligingsproblemen variëren per type, ernst en aanvalsmethode. Wanneer code afhankelijk is van een pakket met een beveiligingsprobleem, kan deze kwetsbare afhankelijkheid een reeks problemen veroorzaken.
Ernst: gemiddeld
GitHub-opslagplaatsen moeten geheime scanresultaten hebben opgelost
Beschrijving: Geheimen gevonden in codeopslagplaatsen. Dit moet onmiddellijk worden hersteld om een beveiligingsschending te voorkomen. Geheimen in opslagplaatsen kunnen worden gelekt of gedetecteerd door kwaadwillende personen, wat leidt tot inbreuk op een toepassing of service.
Ernst: Hoog
GitHub-opslagplaatsen moeten de resultaten van codescans hebben opgelost
Beschrijving: Beveiligingsproblemen gevonden in codeopslagplaatsen. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen.
Ernst: gemiddeld
In GitHub-opslagplaatsen moeten resultaten voor het scannen van beveiligingsproblemen op afhankelijkheid zijn opgelost
Beschrijving: GitHub-opslagplaatsen moeten afhankelijkheidsscanresultaten voor scannen op beveiligingsproblemen hebben opgelost.
Ernst: gemiddeld
GitHub-opslagplaatsen moeten een infrastructuur hebben als het scannen van code is opgelost
Beschrijving: Problemen met de configuratie van infrastructuur als codebeveiliging zijn gevonden in opslagplaatsen. De problemen zijn gedetecteerd in sjabloonbestanden. Om de beveiligingsstatus van de gerelateerde cloudresources te verbeteren, wordt het ten zeerste aanbevolen om deze problemen op te lossen.
Ernst: gemiddeld
GitHub-opslagplaatsen moeten beveiligingsbeleid hebben voor standaardbranch ingeschakeld
Beschrijving: De standaardbranch van de opslagplaats moet worden beveiligd via beleid voor vertakkingsbeveiliging om te voorkomen dat onbedoelde/schadelijke wijzigingen rechtstreeks worden doorgevoerd in de opslagplaats.
Ernst: Hoog
GitHub-opslagplaatsen moeten geforceerde pushes naar de standaardbranch hebben uitgeschakeld
Beschrijving: Aangezien de standaardbranch doorgaans wordt gebruikt voor implementatie en andere bevoegde activiteiten, moeten eventuele wijzigingen in deze vertakking met voorzichtigheid worden benaderd. Het inschakelen van geforceerde pushes kan onbedoelde of schadelijke wijzigingen in de standaardvertakking veroorzaken.
Ernst: gemiddeld
GitHub-organisaties moeten beveiliging tegen het scannen van geheimen hebben ingeschakeld
Beschrijving: Push Protection blokkeert doorvoeringen die geheimen bevatten, waardoor onbedoelde blootstelling van geheimen wordt voorkomen. Om het risico op blootstelling aan referenties te voorkomen, moet Push Protection automatisch worden ingeschakeld voor elke opslagplaats waarvoor geheim scannen is ingeschakeld.
Ernst: Hoog
GitHub-opslagplaatsen mogen geen zelf-hostende runners gebruiken
Beschrijving: Zelf-hostende Runners op GitHub hebben geen garanties voor de werking in kortstondige virtuele machines en kunnen permanent worden aangetast door niet-vertrouwde code in een werkstroom. Daarom mogen zelf-hostende Runners niet worden gebruikt voor actiewerkstromen.
Ernst: Hoog
GitHub-organisaties moeten werkstroommachtigingen voor acties hebben ingesteld op alleen-lezen
Beschrijving: Standaard moeten actiewerkstromen alleen-lezenmachtigingen krijgen om te voorkomen dat kwaadwillende gebruikers misbruik maken van over-machtigingen voor toegang tot en manipulatie met resources.
Ernst: Hoog
GitHub-organisaties moeten meer dan één persoon met beheerdersmachtigingen hebben
Beschrijving: Als er ten minste twee beheerders zijn, vermindert u het risico dat beheerderstoegang verloren gaan. Dit is handig in het geval van break-glass-accountscenario's.
Ernst: Hoog
GitHub-organisaties moeten basismachtigingen hebben ingesteld op geen machtigingen of lezen
Beschrijving: Basismachtigingen moeten worden ingesteld op geen of gelezen voor een organisatie om het principe van minimale bevoegdheden te volgen en onnodige toegang te voorkomen.
Ernst: Hoog
(Preview) GitHub-opslagplaatsen moeten resultaten voor API-beveiligingstests hebben opgelost
Beschrijving: BEVEILIGINGSproblemen met DE API zijn gevonden in codeopslagplaatsen. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen.
Ernst: gemiddeld
(Preview) GitHub-organisaties mogen actiegeheimen niet toegankelijk maken voor alle opslagplaatsen
Beschrijving: Voor geheimen die worden gebruikt in GitHub Action-werkstromen die zijn opgeslagen op gitHub-organisatieniveau, kunt u toegangsbeleid gebruiken om te bepalen welke opslagplaatsen organisatiegeheimen kunnen gebruiken. Met geheimen op organisatieniveau kunt u geheimen delen tussen meerdere opslagplaatsen, waardoor dubbele geheimen minder nodig zijn. Wanneer een geheim echter toegankelijk wordt gemaakt voor een opslagplaats, heeft iedereen met schrijftoegang in de opslagplaats toegang tot het geheim vanuit elke vertakking in een werkstroom. Als u het kwetsbaarheid voor aanvallen wilt verminderen, moet u ervoor zorgen dat het geheim alleen toegankelijk is vanuit geselecteerde opslagplaatsen.
Ernst: Hoog
(Preview) GitHub-organisaties moeten Copilot-suggesties blokkeren die overeenkomen met openbare code
Beschrijving: Het inschakelen van het filter van GitHub Copilot om codesuggesties te blokkeren die overeenkomen met openbare code op GitHub verbetert de beveiliging en juridische naleving. Het voorkomt dat er onbedoeld openbare of opensource-code wordt opgenomen, waardoor het risico op juridische problemen wordt verminderd en de naleving van licentievoorwaarden wordt gewaarborgd. Daarnaast helpt het voorkomen dat potentiële beveiligingsproblemen van openbare code in de projecten van de organisatie worden ingevoerd, waardoor de kwaliteit en beveiliging van code hoger blijft. Wanneer het filter is ingeschakeld, controleert GitHub Copilot codesuggesties met hun omringende code van ongeveer 150 tekens tegen openbare code op GitHub. Als er een overeenkomst of bijna-overeenkomst is, wordt de suggestie niet weergegeven.
Ernst: Hoog
(Preview) GitHub-organisaties moeten meervoudige verificatie afdwingen voor externe medewerkers
Beschrijving: Het afdwingen van meervoudige verificatie voor externe medewerkers in een GitHub-organisatie is een beveiligingsmaatregel die vereist dat medewerkers een extra vorm van identificatie gebruiken naast hun wachtwoord om toegang te krijgen tot de opslagplaatsen en resources van de organisatie. Dit verbetert de beveiliging door te beschermen tegen onbevoegde toegang, zelfs als een wachtwoord is aangetast en helpt ervoor te zorgen dat aan de industriestandaarden wordt voldaan. Het omvat het informeren van medewerkers over de vereiste en het bieden van ondersteuning voor de overgang, waardoor uiteindelijk het risico op gegevensschendingen wordt verminderd.
Ernst: Hoog
(Preview) GitHub-opslagplaatsen moeten minimaal goedkeuring van twee revisoren vereisen voor codepushes
Beschrijving: Om te voorkomen dat onbedoelde of schadelijke wijzigingen rechtstreeks worden doorgevoerd, is het belangrijk om beveiligingsbeleid te implementeren voor de standaardbranch in GitHub-opslagplaatsen. We raden u aan ten minste twee coderevisoren te verplichten om pull-aanvragen goed te keuren voordat de code wordt samengevoegd met de standaardbranch. Door goedkeuring van minimaal twee revisoren te vereisen, kunt u het risico op niet-geautoriseerde wijzigingen beperken, wat kan leiden tot systeeminstabiliteit of beveiligingsproblemen.
Ernst: Hoog
Aanbevelingen voor GitLab
GitLab-projecten moeten geheime scanresultaten hebben opgelost
Beschrijving: Geheimen zijn gevonden in codeopslagplaatsen. Dit moet onmiddellijk worden hersteld om een beveiligingsschending te voorkomen. Geheimen in opslagplaatsen kunnen worden gelekt of gedetecteerd door kwaadwillende personen, wat leidt tot inbreuk op een toepassing of service.
Ernst: Hoog
GitLab-projecten moeten de resultaten van codescans hebben opgelost
Beschrijving: Beveiligingsproblemen zijn gevonden in codeopslagplaatsen. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen.
Ernst: gemiddeld
GitLab-projecten moeten de resultaten van het scannen op afhankelijkheidsproblemen hebben opgelost
Beschrijving: GitHub-opslagplaatsen moeten afhankelijkheidsscanresultaten voor scannen op beveiligingsproblemen hebben opgelost.
Ernst: gemiddeld
GitLab-projecten moeten infrastructuur hebben als het scannen van code is opgelost
Beschrijving: Problemen met de configuratie van infrastructuur als codebeveiliging zijn gevonden in opslagplaatsen. De weergegeven problemen zijn gedetecteerd in sjabloonbestanden. Om de beveiligingsstatus van de gerelateerde cloudresources te verbeteren, wordt het ten zeerste aanbevolen om deze problemen op te lossen.
Ernst: gemiddeld
Afgeschafte DevOps-beveiligingsaanbeveling
In codeopslagplaatsen moeten de resultaten van codescans zijn opgelost
Beschrijving: DevOps-beveiliging in Defender voor Cloud heeft beveiligingsproblemen in codeopslagplaatsen gevonden. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen. (Geen gerelateerd beleid)
Ernst: gemiddeld
Codeopslagplaatsen moeten geheime scanresultaten hebben opgelost
Beschrijving: DevOps-beveiliging in Defender voor Cloud heeft een geheim gevonden in codeopslagplaatsen. Dit moet onmiddellijk worden hersteld om een beveiligingsschending te voorkomen. Geheimen in opslagplaatsen kunnen worden gelekt of gedetecteerd door kwaadwillende personen, wat leidt tot inbreuk op een toepassing of service. Voor Azure DevOps scant het hulpprogramma Microsoft Security DevOps CredScan alleen builds waarop het is geconfigureerd om uit te voeren. De resultaten weerspiegelen daarom mogelijk niet de volledige status van geheimen in uw opslagplaatsen. (Geen gerelateerd beleid)
Ernst: Hoog
De resultaten van het scannen van Dependabot in codeopslagplaatsen moeten zijn opgelost
Beschrijving: DevOps-beveiliging in Defender voor Cloud heeft beveiligingsproblemen in codeopslagplaatsen gevonden. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen. (Geen gerelateerd beleid)
Ernst: gemiddeld
Codeopslagplaatsen moeten infrastructuur hebben als het scannen van code is opgelost
Beschrijving: DevOps-beveiliging in Defender voor Cloud heeft infrastructuur gevonden als problemen met de configuratie van codebeveiliging in opslagplaatsen. De weergegeven problemen zijn gedetecteerd in sjabloonbestanden. Om de beveiligingsstatus van de gerelateerde cloudresources te verbeteren, wordt het ten zeerste aanbevolen om deze problemen op te lossen. (Geen gerelateerd beleid)
Ernst: gemiddeld
Voor GitHub-opslagplaatsen moet codescans zijn ingeschakeld
Beschrijving: GitHub gebruikt codescans om code te analyseren om beveiligingsproblemen en fouten in code te vinden. Codescans kunnen worden gebruikt voor het vinden, classificeren en prioriteren van oplossingen voor bestaande problemen in uw code. Codescans kunnen ook voorkomen dat ontwikkelaars nieuwe problemen introduceren. Scans kunnen worden gepland voor specifieke dagen en tijden, of scans kunnen worden geactiveerd wanneer een specifieke gebeurtenis plaatsvindt in de opslagplaats, zoals een push. Als codescans een mogelijk beveiligingsprobleem of een mogelijke fout in code vinden, wordt in GitHub een waarschuwing weergegeven in de opslagplaats. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project te beschadigen. (Geen gerelateerd beleid)
Ernst: gemiddeld
Voor GitHub-opslagplaatsen moet geheimscans zijn ingeschakeld
Beschrijving: GitHub scant opslagplaatsen voor bekende typen geheimen om frauduleus gebruik van geheimen te voorkomen die per ongeluk zijn doorgevoerd in opslagplaatsen. Scannen van geheimen scant de volledige Git-geschiedenis op alle vertakkingen die aanwezig zijn in de GitHub-opslagplaats voor geheimen. Voorbeelden van geheimen zijn tokens en persoonlijke sleutels die een serviceprovider kan uitgeven voor verificatie. Als een geheim is ingecheckt in een opslagplaats, kan iedereen die leestoegang tot de opslagplaats heeft, het geheim gebruiken om toegang te krijgen tot de externe service met deze bevoegdheden. Geheimen moeten worden opgeslagen op een toegewezen, veilige locatie buiten de opslagplaats voor het project. (Geen gerelateerd beleid)
Ernst: Hoog
Voor GitHub-opslagplaatsen moet het scannen van Dependabot zijn ingeschakeld
Beschrijving: GitHub verzendt Dependabot-waarschuwingen wanneer beveiligingsproblemen in codeafhankelijkheden worden gedetecteerd die van invloed zijn op opslagplaatsen. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project of andere projecten die de bijbehorende code gebruiken, te beschadigen. Beveiligingsproblemen variëren per type, ernst en aanvalsmethode. Wanneer code afhankelijk is van een pakket met een beveiligingsprobleem, kan deze kwetsbare afhankelijkheid een reeks problemen veroorzaken. (Geen gerelateerd beleid)
Ernst: gemiddeld