Настройка GitHub Advanced Security для Azure DevOps

GitHub Advanced Security для Azure DevOps добавляет набор функций безопасности Advanced Security GitHub в Azure Repos.

Расширенная безопасность GitHub для Azure включает:

• Защита от принудительной отправки секретов: проверка если код отправляет фиксации, предоставляющие секреты, такие как учетные данные
• Сканирование репозитория секретов: сканирование репозитория и поиск открытых секретов, которые были зафиксированы случайно
• Проверка зависимостей — поиск известных уязвимостей в открытый код зависимостей (прямых и транзитивных)
• Сканирование кода — используйте подсистему статического анализа CodeQL для выявления уязвимостей приложений на уровне кода, таких как внедрение и обход проверки подлинности SQL.

В настоящее время GitHub Advanced Security для Azure DevOps доступен только для Azure DevOps Services и нет планов перенести этот продукт на сервер Azure DevOps Server.

GitHub Advanced Security для Azure DevOps работает с Azure Repos. Если вы хотите использовать GitHub Advanced Security с репозиториями GitHub, см. статью GitHub Advanced Security.

Необходимые компоненты

У вас должны быть разрешения, выделенные как член группы Администратор istrators коллекции проектов. Чтобы добавить участников в группу "Администраторы коллекции проектов" или изменить разрешение на уровне коллекции проекта, см. статью Изменение разрешений на уровне коллекции проекта.

Дополнительные предварительные требования для локальных агентов

Если в вашей организации используются локальные агенты, существуют дополнительные требования.

• Добавьте эти URL-адреса в список разрешений, чтобы разрешить задачу проверки зависимостей для получения данных рекомендаций по уязвимостям. Дополнительные сведения о разрешенных IP-адресах и URL-адресах домена.

URL-адрес домена	Description
https://governance.dev.azure.com/{organization_name}	Для организаций, использующих домен dev.azure.com для доступа к экземпляру DevOps
https://dev.azure.com/{organization_name}	Для организаций, использующих домен dev.azure.com для доступа к экземпляру DevOps
https://advsec.dev.azure.com/{organization_name}	Для организаций, использующих домен dev.azure.com для доступа к экземпляру DevOps
https://{organization_name}.governance.visualstudio.com/	Для организаций, использующих домен {organization_name}.visualstudio.com для доступа к экземпляру DevOps
https://{organization_name}.visualstudio.com	Для организаций, использующих домен {organization_name}.visualstudio.com для доступа к экземпляру DevOps
https://{organization_name}.advsec.visualstudio.com/	Для организаций, использующих домен {organization_name}.visualstudio.com для доступа к экземпляру DevOps

• Запустите совместимую версию среды выполнения .NET (в настоящее время .NET 6.0.x). Если на агенте нет совместимой версии, задача сборки для сканирования зависимостей скачает .NET.

• Установите пакет CodeQL в кэш средств агента, используя скрипт установки для архитектуры, доступный на сайте GitHub. Эти скрипты требуют $AGENT_TOOLSDIRECTORY , чтобы переменная среды была задана в расположении каталога средств агента в агенте, например C:/agent/_work/_tool. Кроме того, можно вручную выполнить следующие действия.

  1. Выберите последний пакет выпуска CodeQL из GitHub.
  2. Скачайте и распакуйте пакет в следующий каталог в каталоге инструментов агента, как правило, расположенного в разделе _work/_tool: ./CodeQL/0.0.0-[codeql-release-bundle-tag]/x64/. Используя текущий v2.16.0выпуск, имя папки будет заголовок ./CodeQL/0.0.0-codeql-bundle-v2.16.0/x64/. Дополнительные сведения о каталоге средств агента.
  3. Создайте пустой файл, заголовок в x64.complete папке ./CodeQL/0.0.0-[codeql-release-bundle-tag] . В предыдущем примере путь к x64.complete файлу должен быть ./CodeQL/0.0.0-codeql-bundle-v2.16.0/x64.completeзавершен.

Включение GitHub Advanced Security

Вы можете включить расширенную безопасность на уровне организации, проекта или репозитория. Чтобы получить доступ к каждому из средств сканирования и результатов, сначала необходимо включить расширенную безопасность. После включения расширенной безопасности все будущие push-уведомления, содержащие секреты в репозиторий с включенной политикой, блокируются, а сканирование секретов репозитория происходит в фоновом режиме.

Подключение на уровне репозитория

1. Перейдите к параметрам проекта Azure DevOps.
2. Выберите репозитории Repos>.
3. Выберите репозиторий, для которого необходимо включить расширенную безопасность.
4. Нажмите кнопку "Включить и начать выставление счетов", чтобы активировать расширенную безопасность. Теперь в представлении репозитория отображается значок щита для любого репозитория с включенной расширенной безопасностью.

Подключение на уровне проекта

1. Перейдите к параметрам проекта Azure DevOps.
2. Выберите Repos.
3. Выберите вкладку Параметры.
4. Выберите "Включить все ", и вы увидите оценку количества активных фиксаций для проекта.
5. Выберите " Начать выставление счетов", чтобы активировать расширенную безопасность для каждого существующего репозитория в проекте.
6. При необходимости выберите автоматическое включение расширенной безопасности для новых репозиториев, чтобы все созданные репозитории включили расширенную безопасность при создании.

Подключение на уровне организации

1. Перейдите к параметрам организации Azure DevOps.
2. Выберите Репозитории.
3. Выберите "Включить все ", и вы увидите оценку количества активных фиксаций для вашей организации.
4. Выберите " Начать выставление счетов", чтобы активировать расширенную безопасность для каждого существующего репозитория в каждом проекте в организации.
5. При необходимости выберите "Автоматически включить расширенную безопасность" для новых репозиториев, чтобы при создании всех созданных проектов была включена расширенная безопасность.

Настройка проверки секретов

При включении расширенной безопасности секретов защита от принудительной отправки и сканирование репозитория автоматически включено. Вы можете включить или отключить защиту от отправки секретов на странице параметров репозитория.

Как упоминание, сканирование секретов репозитория автоматически запускается при включении расширенной безопасности для выбранного репозитория.

Настройка проверки зависимостей

Сканирование зависимостей — это средство сканирования на основе конвейера. Результаты агрегируются на один репозиторий. Рекомендуется добавить задачу проверки зависимостей во все конвейеры, которые вы хотите проверить.

Совет

Для получения наиболее точных результатов сканирования обязательно добавьте задачу проверки зависимостей, выполнив действия сборки конвейера, который создает код, который требуется проверить.

YAML

Добавьте задачу "Расширенная проверка зависимостей безопасности" (AdvancedSecurity-Dependency-Scanning@1) непосредственно в файл конвейера YAML или выберите задачу "Расширенная проверка зависимостей безопасности" из помощник задачи.

Классическое

Добавьте задачу в Advanced Security Dependency Scanning конвейер.

Чтобы создать оповещения, выполните первую проверку конвейера с включенным задачей проверки зависимостей.

Настройка сканирования кодов

Сканирование кода также является средством сканирования на основе конвейера, где результаты агрегируются в каждом репозитории.

Совет

Рекомендуется добавить задачу сканирования кода в отдельный клонированный конвейер основного рабочего конвейера или создать новый конвейер. Это связано с тем, что сканирование кода может быть более интенсивной задачей сборки.

YAML

Добавьте задачи в следующем порядке:

1. Advanced Security Initialize CodeQL (AdvancedSecurity-Codeql-Init@1)
2. Пользовательские шаги сборки
3. Расширенный анализ CodeQL (AdvancedSecurity-Codeql-Analyze@1)

Кроме того, необходимо указать, какие языки вы анализируете в задаче Initialize CodeQL. Разделенный запятыми список можно использовать для анализа нескольких языков одновременно. Поддерживаемые языки.csharp, cpp, go, java, javascript, python, ruby, swift

Ниже приведен пример начального конвейера:

trigger:
  - main

pool:
  # Additional hosted image options are available: https://learn.microsoft.com/en-us/azure/devops/pipelines/agents/hosted#software
  vmImage: ubuntu-latest

steps:

  - task: AdvancedSecurity-Codeql-Init@1
    inputs:
      languages: "java"
      # Supported languages: csharp, cpp, go, java, javascript, python, ruby, swift
      # You can customize the initialize task: https://learn.microsoft.com/en-us/azure/devops/pipelines/tasks/reference/advanced-security-codeql-init-v1?view=azure-pipelines

#   Add your custom build steps here
# - Ensure that all code to be scanned is compiled (often using a `clean` command to ensure you are building from a clean state).
# - Disable the use of any build caching mechanisms as this can interfere with CodeQL's ability to capture all the necessary data during the build.
# - Disable the use of any distributed/multithreaded/incremental builds as CodeQL needs to monitor executions of the compiler to construct an accurate representation of the application. 

# If you had a Maven app:
#   - task: Maven@4
#     inputs:
#       mavenPomFile: 'pom.xml'
#       goals: 'clean package'
#       publishJUnitResults: true
#       testResultsFiles: '**/TEST-*.xml'
#       javaHomeOption: 'JDKVersion'
#       jdkVersionOption: '1.17'
#       mavenVersionOption: 'Default'

# Or a general script:
#   - script: |
#       echo "Run, Build Application using script"
#       ./location_of_script_within_repo/buildscript.sh

  - task: AdvancedSecurity-Dependency-Scanning@1 # More details on this task: https://learn.microsoft.com/en-us/azure/devops/pipelines/tasks/reference/advanced-security-dependency-scanning-v1?view=azure-pipelines

  - task: AdvancedSecurity-Codeql-Analyze@1 # More details on this task: https://learn.microsoft.com/en-us/azure/devops/pipelines/tasks/reference/advanced-security-codeql-analyze-v1?view=azure-pipelines

Совет

Анализ CodeQL для Kotlin/Swift в настоящее время находится в бета-версии. Во время бета-версии анализ этих языков будет менее комплексным, чем анализ CodeQL других пользователей. Используется java для анализа кода, написанного на Java, Kotlin или обоих. Используется javascript для анализа кода, написанного в JavaScript, TypeScript или обоих.

Если указанный язык является cpp, java, csharpswift пользовательским или пользовательским или AutoBuild требуется выполнить действия сборки. Для других языков, если функция AutoBuild включена, шаг завершается успешно без выполнения каких-либо действий.

Классическое

Добавьте задачи в следующем порядке:

1. Advanced Security Initialize CodeQL
2. Advanced Security AutoBuild (зависит от языка) или замените его собственными пользовательскими шагами сборки
3. Advanced Security Perform CodeQL Analysis

Кроме того, необходимо указать, какие языки вы анализируете в задаче Initialize CodeQL. Если указанный язык является cpp, java, csharpswift, пользовательским или пользовательским или AutoBuild требуется выполнить действия сборки. Для других языков, если функция AutoBuild включена, шаг завершается успешно без выполнения каких-либо действий.

Чтобы создать оповещения, выполните первую проверку конвейера с включенными задачами сканирования кода.

Если по какой-либо причине необходимо отключить расширенную безопасность, все оповещения и состояние оповещений будут сохранены при следующем включении расширенной безопасности для репозитория.

Следующие шаги

• Оповещения проверки кода для расширенной безопасности GitHub для Azure DevOps
• Оповещения проверки зависимостей для расширенной безопасности GitHub для Azure DevOps
• Оповещения проверки секретов для расширенной безопасности GitHub для Azure DevOps
• Разрешения для GitHub Advanced Security для Azure DevOps
• Выставление счетов за GitHub Advanced Security для Azure DevOps