Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Defender for Cloud CLI é uma ferramenta de linha de comandos projetada prioritariamente para programadores, que orquestra análises de segurança em pipelines CI/CD e em terminais de programadores. Carrega os resultados para o Microsoft Defender for Cloud para gestão de postura, contexto de código para runtime, priorização e acompanhamento. Acelera a entrega segura com configuração mínima, opções de linha de comandos fáceis de usar e orientações práticas que ajudam as equipas a resolver problemas rapidamente sem interromper o fluxo.
O que faz o Defender for Cloud CLI
Faça varreduras de segurança em qualquer lugar: Pode iniciar análises a partir do seu portátil ou de qualquer sistema de pipeline CI/CD (como GitHub Actions, Azure DevOps, Jenkins, Bitbucket e outros). A ferramenta requer configuração mínima — um único executável, padrões sensatos e autenticação simplificada.
Unifique os scanners com uma única ferramenta: Orquestre múltiplos motores de análise de segurança (por exemplo, análise de imagens de contentores e outros à medida que se tornam disponíveis) com códigos de saída consistentes que otimizem o controlo do pipeline e a automação.
Carregar as conclusões para o Defender for Cloud: Os resultados aparecem num único local onde as equipas de segurança ganham visibilidade do código para o tempo de execução, contexto do caminho de ataque e conteúdo padrão de recomendação para identificar o que importa primeiro.
Construído para a experiência dos programadores: Fornece ajuda clara, saída concisa no terminal e orientações de remediação alinhadas com o modo de trabalho dos programadores (pipelines, terminais e pull requests).
Como se encaixa no teu fluxo de trabalho
- Você instala e inicia sessão no seu pipeline CI/CD ou localmente.
- Digitaliza a imagem em que está a trabalhar.
- Revês os resultados na consola, exportas se necessário e carregas para o Defender for Cloud.
Authentication
O Defender for Cloud CLI suporta dois métodos de autenticação para se alinhar com as práticas de segurança empresarial. O primeiro e preferido método é a autenticação baseada em conectores, atualmente disponível para Azure DevOps e GitHub. Ao estabelecer um conector entre estes sistemas de controlo de versões e o Defender for Cloud, a autenticação é gerida automaticamente, eliminando a necessidade de adicionar tokens às pipelines. O segundo método é a autenticação baseada em tokens, onde os administradores de segurança criam tokens no portal Microsoft Defender for Cloud e os configuram como variáveis de ambiente em pipelines CI/CD ou terminais locais. Esta abordagem oferece flexibilidade através de sistemas de compilação e permite uma definição de escopo direcionado por subscrição. Para passos e exemplos detalhados, veja Autenticação.
Integração CI/CD
A CLI do Defender for Cloud é independente da plataforma e funciona se usares um conector nativo ou tokens de autenticação. As equipas podem adotá-lo progressivamente, otimizar o YAML com valores predefinidos e contar com códigos de saída estáveis e consistentes para integrar as verificações. Exemplos e entradas de marketplace (Azure DevOps Task) fazem parte do lançamento padrão para acelerar a integração. Para passos e exemplos detalhados, veja integração CI/CD.
Projeto de referência para comandos
A sintaxe do Defender for Cloud CLI segue um padrão de referência name - command - parameter - parameter valuesimples. Por exemplo, aqui está como digitalizar um contentor:
defender scan image myregistry.azurecr.io/app:build-123
Para referência detalhada, veja Sintaxe.
Resultados e remediação
- Fornece saída de consola legível com problemas e próximos passos para correção.
- Quando invocado a partir de pipelines CI/CD, envia resultados para o Defender for Cloud, onde as conclusões aparecem em inventários de ativos, recomendações e caminhos de ataque com contexto de tempo de execução (por exemplo, exposição na internet e cargas de trabalho afetadas).
Para rever resultados, consulte Revisão de Resultados.
Visibilidade do código em tempo de execução
Quando os resultados são carregados, o Defender for Cloud modela as relações entre repositórios, pipelines, imagens e recursos em tempo de execução. Isto permite que as equipas de segurança de TI possam identificar os proprietários certos, compreender o raio de explosão e alinhar a remediação com o risco. Para mais detalhes, veja Mapeamento de Imagens de Contentores.
Migração do MSDO CLI
Se estiver a usar a CLI legada Microsoft Security DevOps (MSDO), considere passar para a CLI do Defender for Cloud para beneficiar de:
Microsoft Container Security Scanner (baseado em MDVM) varrimento de contentores (substituindo o varrimento de imagens de contentores Trivy em pipelines).
Experiência melhorada para programadores (executada localmente e em integração contínua com opções de linha de comandos).
Um caminho à prova de futuro à medida que novos scanners são orquestrados pela Defender for Cloud CLI. O MSDO CLI mantém-se em suporte de manutenção.