Распространенные вопросы о DevOps Security

Получите ответы на распространенные вопросы о Microsoft DevOps Security.

Почему при попытке подключения происходит ошибка?

При нажатии кнопки "Авторизовать " используется учетная запись, с помощью которую вы вошли. Эта учетная запись может иметь ту же электронную почту, но может иметь другой клиент. Проверьте, выбрано ли во всплывающем экране согласия и в Visual Studio правильное сочетание учетной записи и арендатора.

Вы можете проверить, какая учетная запись вошли в систему.

Почему не удается найти репозиторий Azure DevOps?

Подключение безопасности Defender для облака DevOps поддерживает только тип TfsGitрепозитория. Тип репозитория TFSVC сегодня не поддерживается.

Убедитесь, что репозитории подключены к Microsoft Defender для облака. Если репозиторий по-прежнему не отображается, убедитесь, что вы вошли с правильной учетной записью пользователя организации Azure DevOps. Подписка Azure и Организация Azure DevOps должны находиться в одном клиенте. Если пользователь соединителя неправильно, необходимо удалить ранее созданный соединитель, войдите с правильной учетной записью пользователя и повторно создайте соединитель.

Почему не отображается созданный ФАЙЛ SARIF в пути, который я решил удалить?

Если файл SARIF не отображается в ожидаемом пути, возможно, вы выбрали другой путь CodeAnalysisLogs/msdo.sarif к удалению. В настоящее время необходимо удалить файлы CodeAnalysisLogs/msdo.sarifSARIF в .

Почему не отображаются результаты для проектов Azure DevOps в Microsoft Defender для облака?

При использовании классической конфигурации конвейера убедитесь, что имя артефакта не изменится. Это может привести к тому, что результаты проекта не отображаются. Дополнительные сведения о том , как просмотреть результаты.

Я успешно подключил соединитель DevOps, где можно найти мои связанные рекомендации?

Мы рекомендуем перейти к области "Безопасность DevOps", чтобы просмотреть обзор состояния безопасности DevOps. Вы можете сортировать и фильтровать по ресурсу DevOps, который вы хотите просмотреть сведения о рекомендации.

Вы также можете использовать книгу DevOps и настроить ее для ваших потребностей.

Какие сведения хранятся и обрабатываются в хранилище продуктов безопасности DevOps для меня и предприятия?

Функции безопасности DevOps подключаются к системе управления исходным кодом, например Azure DevOps, GitHub и (или) GitLab, чтобы предоставить центральную консоль для ресурсов DevOps и состояния безопасности. Функции безопасности DevOps обрабатываются и хранятся следующие сведения:

  • Метаданные в подключенных системах управления исходным кодом и связанных репозиториях. Эти данные включают сведения о пользователях, организации и аутентификации.

  • Проверьте результаты проверки рекомендаций и сведений.

Функции безопасности DevOps являются частью Microsoft Defender для облака. Ознакомьтесь со следующими рекомендациями по размещению данных и сведениями о границе данных ЕС, как это относится к службе Microsoft Defender для облака.

Безопасность DevOps не обрабатывает или хранит код, сборку и журналы аудита сегодня, но может в будущем расширить свои возможности.

Дополнительные сведения о заявлении о конфиденциальности Майкрософт.

Почему для соединителя Azure DevOps требуются разрешения на запись для рабочих элементов, сборки, кода, перехватчиков служб и расширенной безопасности?

Эти разрешения необходимы для некоторых функций безопасности DevOps, таких как заметки запроса на вытягивание, для работы.

Доступны ли возможности исключения рекомендаций и отслеживаются для управление уязвимостями безопасности приложений?

Исключения недоступны для рекомендаций по безопасности DevOps в Microsoft Defender для облака на данный момент.

Почему не удается просмотреть GitHub Advanced Security для Azure DevOps (GHAzDO) результаты Defender для облака?

Убедитесь, что соединители должным образом авторизованы.

Убедитесь, что вы используете тот же идентификатор подписки для GHAzDO и Defender для облака. Если вы по-прежнему не можете увидеть результаты, проблема может быть вызвана отсутствием необходимой области соединителя ADO. Безопасность DevOps представила новые области для соединителей Azure DevOps в июне. Если вы создали соединитель до июня и не обновили его, вы не сможете видеть результаты GHAzDO из-за отсутствия области в соединителе. Вам потребуется создать новый соединитель ADO, который будет автоматически включать новые области.

Убедитесь, что разрешения пользователя для Microsoft Defender для DevOps имеются Advanced Security: view alerts и Read имеют значение Allow. Эти разрешения могут измениться, если переключатель "Наследование" отключен. Если заданы Not set необходимые разрешения или Denyони должны быть вручную обновлены, чтобы Allow результаты GHAzDO не отображались в Defender для облака рекомендациях.

Снимок экрана: расширенные разрешения на безопасность.

Доступна ли непрерывная автоматическая проверка?

В настоящее время сканирование происходит во время сборки.

Почему я не могу настроить заметки запроса на вытягивание?

Убедитесь, что у вас есть доступ на запись (владелец или участник) к подписке. Если у вас нет этого типа доступа сегодня, его можно получить с помощью активации роли Microsoft Entra в PIM.

Какие языки программирования поддерживаются функциями безопасности DevOps?

Следующие языки поддерживаются функциями безопасности DevOps:

  • Python
  • JavaScript
  • TypeScript

Список языков, поддерживаемых GitHub Advanced Security, см . здесь.

Можно ли перенести соединитель в другой регион?

Например, можно ли перенести соединитель из центрального региона США в регион Западной Европы?

В настоящее время мы не поддерживаем автоматическую миграцию соединителей безопасности DevOps из одного региона в другой.

Если вы хотите переместить расположение соединителя DevOps в другой регион, рекомендуется удалить существующий соединитель, а затем повторно создать соединитель в новом регионе.

Выполняются ли вызовы API, сделанные Defender для облака подсчетом по моему ограничению потребления?

Да, вызовы API, выполненные Defender для облака подсчетом в отношении ограничения потребления Azure DevOps Global. Defender для облака вызывает от имени пользователя, который подключен к соединителю.

Почему список моей организации пуст в пользовательском интерфейсе?

Если список организаций пуст в пользовательском интерфейсе после подключения соединителя Azure DevOps, необходимо убедиться, что организация в Azure DevOps подключена к клиенту Azure, у которого есть пользователь, прошедший проверку подлинности соединителя.

Дополнительные сведения о том, как устранить эту проблему, см. в руководстве по стрельбе с проблемами DevOps.

У меня есть большая организация Azure DevOps с множеством репозиториев. Можно ли по-прежнему подключиться?

Да, нет ограничений на количество репозиториев Azure DevOps, которые можно подключить для возможностей безопасности DevOps.

Однако при подключении крупных организаций есть два основных последствия — скорость и регулирование. Скорость обнаружения для репозиториев DevOps определяется количеством проектов для каждого соединителя (примерно 100 проектов в час). Регулирование может произойти, так как вызовы API Azure DevOps имеют глобальный предел скорости, и мы ограничиваем вызовы обнаружения проектов, чтобы использовать небольшую часть общих ограничений квоты.

Рассмотрите возможность использования альтернативного удостоверения Azure DevOps (т. е. учетной записи администратора организации, используемой в качестве учетной записи службы), чтобы избежать регулирования отдельных учетных записей при подключении крупных организаций. Ниже приведены некоторые сценарии использования альтернативного удостоверения для подключения соединителя безопасности DevOps:

  • Большое количество организаций и проектов Azure DevOps (около 500 проектов или более).
  • Большое количество параллельных сборок, которые пиковые в рабочие часы.
  • Авторизованный пользователь — это пользователь Power Platform , выполняющий дополнительные вызовы API Azure DevOps, используя квоты глобального ограничения скорости.

После подключения репозиториев Azure DevOps с помощью этой учетной записи и настройки и запуска расширения Microsoft Security DevOps Azure DevOps в конвейере CI/CD результаты сканирования будут отображаться практически мгновенно в Microsoft Defender для облака.