Säkerhetsrekommendationer för DevOps-resurser

Den här artikeln innehåller de rekommendationer som du kan se i Microsoft Defender för molnet om du ansluter en Azure DevOps-, GitHub- eller GitLab-miljö med hjälp av sidan Miljöinställningar. Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration.

Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Åtgärda rekommendationer i Defender för molnet.

Läs mer om Säkerhetsfördelar och funktioner för DevOps.

DevOps-rekommendationer påverkar inte din säkerhetspoäng. Om du vill bestämma vilka rekommendationer som ska lösas först kan du titta på allvarlighetsgraden för varje rekommendation och dess potentiella inverkan på din säkerhetspoäng.

DevOps-rekommendationer

Azure DevOps-rekommendationer

Azure DevOps-lagringsplatser bör ha GitHub Advanced Security för Azure DevOps (GHAzDO) aktiverat

Beskrivning: DevOps-säkerhet i Defender för molnet använder en central konsol för att ge säkerhetsteam möjlighet att skydda program och resurser från kod till molnet i Azure DevOps. Med aktivering av GitHub Advanced Security för Azure DevOps-lagringsplatser (GHAzDO) innehåller GitHub Advanced Security för Azure DevOps får du resultat om hemligheter, beroenden och kodsårbarheter i dina Azure DevOps-lagringsplatser som finns i Microsoft Defender för molnet.

Allvarlighetsgrad: Hög

Azure DevOps-lagringsplatser bör ha hemliga genomsökningsresultat lösta

Beskrivning: Hemligheter hittades i kodlagringsplatser. Åtgärda omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras. Obs! Genomsökningsverktyget för Microsoft Security DevOps-autentiseringsuppgifter genomsöker endast versioner som det är konfigurerat att köras på. Därför kanske resultatet inte återspeglar den fullständiga statusen för hemligheter i dina lagringsplatser.

Allvarlighetsgrad: Hög

Azure DevOps-lagringsplatser bör ha kodgenomsökningsresultat lösta

Beskrivning: Sårbarheter hittades i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.

Allvarlighetsgrad: Medel

Azure DevOps-lagringsplatser bör ha sårbarhetsgenomsökningsresultat för beroenden lösta

Beskrivning: Beroendesårbarheter har hittats i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.

Allvarlighetsgrad: Medel

Azure DevOps-lagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts

Beskrivning: Infrastruktur som problem med kodsäkerhetskonfiguration har hittats på lagringsplatser. De problem som visas nedan har identifierats i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem.

Allvarlighetsgrad: Medel

Azure DevOps-byggpipelines bör inte ha hemligheter som är tillgängliga för versioner av gafflar

Beskrivning: I offentliga lagringsplatser är det möjligt att personer utanför organisationen skapar förgreningar och kör versioner på den förgrenade lagringsplatsen. Om den här inställningen i så fall är aktiverad kan utomstående få åtkomst till att skapa pipelinehemligheter som var avsedda att vara interna.

Allvarlighetsgrad: Hög

Azure DevOps-tjänstanslutningar bör inte bevilja åtkomst till alla pipelines

Beskrivning: Tjänstanslutningar används för att skapa anslutningar från Azure Pipelines till externa tjänster och fjärrtjänster för att utföra uppgifter i ett jobb. Pipelinebehörigheter styr vilka pipelines som har behörighet att använda tjänstanslutningen. För att stödja säkerheten för pipelineåtgärderna bör tjänstanslutningar inte beviljas åtkomst till alla YAML-pipelines. Detta bidrar till att upprätthålla principen om lägsta behörighet eftersom en säkerhetsrisk i komponenter som används av en pipeline kan utnyttjas av en angripare för att attackera andra pipelines som har åtkomst till kritiska resurser.

Allvarlighetsgrad: Hög

Azure DevOps-säkra filer bör inte bevilja åtkomst till alla pipelines

Beskrivning: Säkra filer ger utvecklare ett sätt att lagra filer som kan delas mellan pipelines. Dessa filer används vanligtvis för att lagra hemligheter som signeringscertifikat och SSH-nycklar. Om en säker fil beviljas åtkomst till alla YAML-pipelines kan en obehörig användare stjäla information från de säkra filerna genom att skapa en YAML-pipeline och komma åt den säkra filen.

Allvarlighetsgrad: Hög

Azure DevOps-variabelgrupper med hemliga variabler bör inte ge åtkomst till alla pipelines

Beskrivning: Variabelgrupper lagrar värden och hemligheter som du kanske vill skicka till en YAML-pipeline eller göra tillgängliga i flera pipelines. Du kan dela och använda variabelgrupper i flera pipelines i samma projekt. Om en variabelgrupp som innehåller hemligheter markeras som tillgänglig för alla YAML-pipelines kan en angripare utnyttja de tillgångar som involverar de hemliga variablerna genom att skapa en ny pipeline.

Allvarlighetsgrad: Hög

Azure DevOps klassiska Azure-tjänstanslutningar bör inte användas för att komma åt en prenumeration

Beskrivning: Använd azure resource manager-typen (ARM) för tjänstanslutningar i stället för klassiska Azure-tjänstanslutningar för att ansluta till Azure-prenumerationer. ARM-modellen erbjuder flera säkerhetsförbättringar, inklusive starkare åtkomstkontroll, förbättrad granskning, ARM-baserad distribution/styrning, åtkomst till hanterade identiteter och nyckelvalv för hemligheter, Entra-behörighetsbaserad autentisering och stöd för taggar och resursgrupper för effektiv hantering.

Allvarlighetsgrad: Medel

GitHub-rekommendationer

GitHub-lagringsplatser ska ha hemlig genomsökning aktiverat

Beskrivning: GitHub söker igenom lagringsplatser efter kända typer av hemligheter för att förhindra bedräglig användning av hemligheter som av misstag har checkats in på lagringsplatser. Hemlig genomsökning söker igenom hela Git-historiken på alla grenar som finns på GitHub-lagringsplatsen efter hemligheter. Exempel på hemligheter är token och privata nycklar som en tjänstleverantör kan utfärda för autentisering. Om en hemlighet checkas in på en lagringsplats kan alla som har läsbehörighet till lagringsplatsen använda hemligheten för att komma åt den externa tjänsten med dessa privilegier. Hemligheter ska lagras på en dedikerad och säker plats utanför lagringsplatsen för projektet.

Allvarlighetsgrad: Hög

GitHub-lagringsplatser ska ha kodgenomsökning aktiverat

Beskrivning: GitHub använder kodgenomsökning för att analysera kod för att hitta säkerhetsrisker och fel i koden. Kodgenomsökning kan användas för att hitta, sortera och prioritera korrigeringar för befintliga problem i koden. Kodgenomsökning kan också hindra utvecklare från att införa nya problem. Genomsökningar kan schemaläggas för specifika dagar och tider, eller genomsökningar kan utlösas när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Om kodgenomsökningen hittar en potentiell säkerhetsrisk eller ett fel i koden visar GitHub en avisering på lagringsplatsen. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada projektets konfidentialitet, integritet eller tillgänglighet.

Allvarlighetsgrad: Medel

GitHub-lagringsplatser ska ha Dependabot-genomsökning aktiverat

Beskrivning: GitHub skickar Dependabot-aviseringar när den identifierar säkerhetsrisker i kodberoenden som påverkar lagringsplatser. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada konfidentialiteten, integriteten eller tillgängligheten för projektet eller andra projekt som använder koden. Sårbarheter varierar i typ, allvarlighetsgrad och attackmetod. När koden är beroende av ett paket som har en säkerhetsrisk kan det här sårbara beroendet orsaka en rad problem.

Allvarlighetsgrad: Medel

GitHub-lagringsplatser bör ha hemliga genomsökningsresultat lösta

Beskrivning: Hemligheter har hittats i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras.

Allvarlighetsgrad: Hög

GitHub-lagringsplatser bör ha kodgenomsökningsresultat lösta

Beskrivning: Sårbarheter har hittats i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.

Allvarlighetsgrad: Medel

GitHub-lagringsplatser bör ha upptäckter av sårbarhetsgenomsökning av beroenden lösta

Beskrivning: GitHub-lagringsplatser bör ha upptäckter av sårbarhetsgenomsökning av beroenden lösta.

Allvarlighetsgrad: Medel

GitHub-lagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts

Beskrivning: Infrastruktur som problem med kodsäkerhetskonfiguration har hittats på lagringsplatser. De problem som visas nedan har identifierats i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem.

Allvarlighetsgrad: Medel

GitHub-lagringsplatser bör ha skyddsprinciper för standardgren aktiverat

Beskrivning: Standardgrenen för lagringsplatsen bör skyddas via principer för grenskydd för att förhindra att oavsiktliga/skadliga ändringar checkas in direkt på lagringsplatsen.

Allvarlighetsgrad: Hög

GitHub-lagringsplatser ska ha framtvingade push-överföringar till standardgrenen inaktiverad

Beskrivning: Eftersom standardgrenen vanligtvis används för distribution och andra privilegierade aktiviteter bör eventuella ändringar av den hanteras med försiktighet. Aktivering av framtvingade push-meddelanden kan medföra oavsiktliga eller skadliga ändringar i standardgrenen.

Allvarlighetsgrad: Medel

GitHub-organisationer bör ha aktiverat push-skydd för hemlig genomsökning

Beskrivning: Push Protection blockerar incheckningar som innehåller hemligheter, vilket förhindrar oavsiktlig exponering av hemligheter. För att undvika risken för exponering av autentiseringsuppgifter bör Push Protection automatiskt aktiveras för varje hemlig genomsökningsaktiverad lagringsplats.

Allvarlighetsgrad: Hög

GitHub-lagringsplatser ska inte använda lokalt installerade löpare

Beskrivning: Lokalt installerade löpare på GitHub saknar garantier för drift i tillfälliga rena virtuella datorer och kan ständigt komprometteras av obetrodd kod i ett arbetsflöde. Därför bör lokalt installerade löpare inte användas för åtgärdsarbetsflöden.

Allvarlighetsgrad: Hög

GitHub-organisationer bör ha behörigheter för åtgärdsarbetsflödet inställda på skrivskyddade

Beskrivning: Som standard bör åtgärdsarbetsflöden beviljas skrivskyddade behörigheter för att förhindra att skadliga användare utnyttjar överbehörighetade arbetsflöden för att få åtkomst till och manipulera resurser.

Allvarlighetsgrad: Hög

GitHub-organisationer bör ha fler än en person med administratörsbehörighet

Beskrivning: Om du har minst två administratörer minskar risken för att administratörsåtkomsten går förlorad. Detta är användbart i händelse av scenarier med brytglaskonton.

Allvarlighetsgrad: Hög

GitHub-organisationer bör ha grundläggande behörigheter inställda på inga behörigheter eller läsbehörigheter

Beskrivning: Grundläggande behörigheter ska anges till ingen eller läsas för att en organisation ska kunna följa principen om minsta behörighet och förhindra onödig åtkomst.

Allvarlighetsgrad: Hög

(Förhandsversion) GitHub-lagringsplatser bör ha api-säkerhetstestresultat lösta

Beskrivning: Säkerhetsrisker för API har hittats i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.

Allvarlighetsgrad: Medel

GitLab-rekommendationer

GitLab-projekt bör ha hemliga genomsökningsresultat lösta

Beskrivning: Hemligheter har hittats i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras.

Allvarlighetsgrad: Hög

GitLab-projekt bör ha kodgenomsökningsresultat lösta

Beskrivning: Sårbarheter har hittats i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.

Allvarlighetsgrad: Medel

GitLab-projekt bör ha problem med sårbarhetsgenomsökning av beroenden lösta

Beskrivning: GitHub-lagringsplatser bör ha upptäckter av sårbarhetsgenomsökning av beroenden lösta.

Allvarlighetsgrad: Medel

GitLab-projekt bör ha infrastruktur när kodgenomsökningsresultaten har lösts

Beskrivning: Infrastruktur som problem med kodsäkerhetskonfiguration har hittats på lagringsplatser. De problem som visas nedan har identifierats i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem.

Allvarlighetsgrad: Medel

Inaktuella Säkerhetsrekommendationer för DevOps

Kodlagringsplatser bör ha kodgenomsökningsresultat lösta

Beskrivning: DevOps-säkerhet i Defender för molnet har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Kodlagringsplatser bör ha hemliga genomsökningsresultat lösta

Beskrivning: DevOps-säkerhet i Defender för molnet har hittat en hemlighet i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras. För Azure DevOps genomsöker Microsoft Security DevOps CredScan-verktyget endast versioner som det har konfigurerats att köras på. Därför kanske resultatet inte återspeglar den fullständiga statusen för hemligheter i dina lagringsplatser. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Kodlagringsplatser bör ha Dependabot-genomsökningsresultat lösta

Beskrivning: DevOps-säkerhet i Defender för molnet har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Kodlagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts

Beskrivning: DevOps-säkerhet i Defender för molnet har hittat infrastruktur som problem med kodsäkerhetskonfiguration i lagringsplatser. De problem som visas nedan har identifierats i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

GitHub-lagringsplatser ska ha kodgenomsökning aktiverat

Beskrivning: GitHub använder kodgenomsökning för att analysera kod för att hitta säkerhetsrisker och fel i koden. Kodgenomsökning kan användas för att hitta, sortera och prioritera korrigeringar för befintliga problem i koden. Kodgenomsökning kan också hindra utvecklare från att införa nya problem. Genomsökningar kan schemaläggas för specifika dagar och tider, eller genomsökningar kan utlösas när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Om kodgenomsökningen hittar en potentiell säkerhetsrisk eller ett fel i koden visar GitHub en avisering på lagringsplatsen. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada projektets konfidentialitet, integritet eller tillgänglighet. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

GitHub-lagringsplatser ska ha hemlig genomsökning aktiverat

Beskrivning: GitHub söker igenom lagringsplatser efter kända typer av hemligheter för att förhindra bedräglig användning av hemligheter som av misstag har checkats in på lagringsplatser. Hemlig genomsökning söker igenom hela Git-historiken på alla grenar som finns på GitHub-lagringsplatsen efter hemligheter. Exempel på hemligheter är token och privata nycklar som en tjänstleverantör kan utfärda för autentisering. Om en hemlighet checkas in på en lagringsplats kan alla som har läsbehörighet till lagringsplatsen använda hemligheten för att komma åt den externa tjänsten med dessa privilegier. Hemligheter ska lagras på en dedikerad och säker plats utanför lagringsplatsen för projektet. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

GitHub-lagringsplatser ska ha Dependabot-genomsökning aktiverat

Beskrivning: GitHub skickar Dependabot-aviseringar när den identifierar säkerhetsrisker i kodberoenden som påverkar lagringsplatser. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada konfidentialiteten, integriteten eller tillgängligheten för projektet eller andra projekt som använder koden. Sårbarheter varierar i typ, allvarlighetsgrad och attackmetod. När koden är beroende av ett paket som har en säkerhetsrisk kan det här sårbara beroendet orsaka en rad problem. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Relaterat innehåll

• Vad är säkerhetsprinciper, initiativ och rekommendationer?
• Anpassa säkerhetsrekommendationer