Настройка действия Microsoft Security DevOps GitHub

Microsoft Security DevOps — это приложение командной строки, которое интегрирует статические средства анализа в жизненный цикл разработки. Безопасность DevOps устанавливает, настраивает и запускает последние версии статических средств анализа, таких как SDL, средства безопасности и соответствия требованиям. Безопасность DevOps управляет данными с переносимыми конфигурациями, которые обеспечивают детерминированное выполнение в нескольких средах.

Microsoft Security DevOps использует следующие средства Open Source:

Имя.	Язык	Лицензия
Антивредоносное ПО	Защита от вредоносных программ в Windows от Microsoft Defender для конечной точки, которая проверяет наличие вредоносных программ и прерывает сборку, если вредоносные программы найдены. Это средство проверяется по умолчанию в агенте windows-latest.	Не открытый исходный код
Бандит	Python	Лицензия Apache 2.0
BinSkim	Binary-Windows, ELF	Лицензия MIT
Checkov;	Terraform, план Terraform, CloudFormation, AWS SAM, Kubernetes, Helm chart, Kustomize, Dockerfile, Serverless, Bicep, OpenAPI, ARM	Лицензия Apache 2.0
ESlint	JavaScript	Лицензия MIT
Анализатор шаблонов	Шаблон ARM, Bicep	Лицензия MIT
Terrascan;	Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation	Лицензия Apache 2.0
Триви	образы контейнеров, инфраструктура как код (IaC)	Лицензия Apache 2.0

Необходимые компоненты

• Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

• Подключите репозитории GitHub.

• Откройте действие Microsoft Security DevOps GitHub в новом окне.

• Убедитесь, что разрешения рабочего процесса заданы для чтения и записи в репозитории GitHub. Сюда входят разрешения "id-token: write" в рабочем процессе GitHub для федерации с Defender для облака.

Настройка действия Microsoft Security DevOps GitHub

Чтобы настроить действие GitHub, выполните следующее:

1. Войдите в GitHub.

2. Выберите репозиторий, для которого нужно настроить действие GitHub.

3. Выберите Действия.

   

4. Выберите Новый рабочий процесс.

5. На странице "Начало работы с GitHub Actions" выберите рабочий процесс самостоятельно

   

6. В текстовом поле введите имя файла рабочего процесса. Например, msdevopssec.yml.

   

7. Скопируйте и вставьте следующий пример рабочего процесса действия на вкладку "Изменить новый файл".

   name: MSDO
   on:
     push:
       branches:
         - main
   
   jobs:
     sample:
       name: Microsoft Security DevOps
   
       # Windows and Linux agents are supported
       runs-on: windows-latest
   
       permissions:
         contents: read
         id-token: write
         actions: read
         # Write access for security-events is only required for customers looking for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS)
         security-events: write
   
       steps:
   
         # Checkout your code repository to scan
       - uses: actions/checkout@v3
   
         # Run analyzers
       - name: Run Microsoft Security DevOps
         uses: microsoft/security-devops-action@latest
         id: msdo
       # with:
         # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig').
         # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub.
         # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all.
         # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all.
         # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'.
   
         # Upload alerts to the Security tab - required for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS)
       # - name: Upload alerts to Security tab
       #  uses: github/codeql-action/upload-sarif@v3
       #  with:
       #    sarif_file: ${{ steps.msdo.outputs.sarifFile }}
   
         # Upload alerts file as a workflow artifact - required for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS)
       # - name: Upload alerts file as a workflow artifact
       #  uses: actions/upload-artifact@v3
       #  with:  
       #    name: alerts
       #    path: ${{ steps.msdo.outputs.sarifFile }}
   

   Примечание.

   Дополнительные параметры и инструкции по настройке инструментов см . вики-сайте Microsoft Security DevOps

8. Выбор фиксации " Пуск"

   

9. Выберите Commit new file (Зафиксировать новый файл). Обратите внимание, что процесс может занять до одной минуты.

   

10. Выберите действия и убедитесь, что выполняется новое действие.

    

Просмотр результатов сканирования

Чтобы просмотреть результаты сканирования, выполните приведенные далее действия.

1. войдите в Azure.

2. Перейдите к Defender для облака > DevOps Security.

3. В колонке безопасности DevOps вы должны начать видеть те же результаты безопасности MSDO, которые разработчики видят в журналах CI в течение нескольких минут для связанного репозитория. Клиенты с GitHub Advanced Security также увидят результаты, полученные из этих средств.

Подробнее

• Узнайте о действиях GitHub для Azure.

• Узнайте, как развертывать приложения из GitHub в Azure.

Следующие шаги

Дополнительные сведения о безопасности DevOps см. в Defender для облака.

Узнайте, как подключить организации GitHub к Defender для облака.