Säkerhetsrekommendationer för DevOps-resurser
Den här artikeln innehåller de rekommendationer som du kan se i Microsoft Defender för molnet om du ansluter en Azure DevOps-, GitHub- eller GitLab-miljö med hjälp av sidan Miljöinställningar. Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration.
Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Åtgärda rekommendationer i Defender för molnet.
Läs mer om Säkerhetsfördelar och funktioner för DevOps.
DevOps-rekommendationer påverkar inte din säkerhetspoäng. Om du vill bestämma vilka rekommendationer som ska lösas först kan du titta på allvarlighetsgraden för varje rekommendation och dess potentiella inverkan på din säkerhetspoäng.
DevOps-rekommendationer
Azure DevOps-rekommendationer
Azure DevOps-lagringsplatser bör ha GitHub Advanced Security för Azure DevOps (GHAzDO) aktiverat
Beskrivning: DevOps-säkerhet i Defender för molnet använder en central konsol för att ge säkerhetsteam möjlighet att skydda program och resurser från kod till molnet i Azure DevOps. Med aktivering av GitHub Advanced Security för Azure DevOps-lagringsplatser (GHAzDO) innehåller GitHub Advanced Security för Azure DevOps får du resultat om hemligheter, beroenden och kodsårbarheter i dina Azure DevOps-lagringsplatser som finns i Microsoft Defender för molnet.
Allvarlighetsgrad: Hög
Azure DevOps-lagringsplatser bör ha hemliga genomsökningsresultat lösta
Beskrivning: Hemligheter hittades i kodlagringsplatser. Åtgärda omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras. Obs! Genomsökningsverktyget för Microsoft Security DevOps-autentiseringsuppgifter genomsöker endast versioner som det är konfigurerat att köras på. Därför kanske resultatet inte återspeglar den fullständiga statusen för hemligheter i dina lagringsplatser.
Allvarlighetsgrad: Hög
Azure DevOps-lagringsplatser bör ha kodgenomsökningsresultat lösta
Beskrivning: Sårbarheter hittades i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.
Allvarlighetsgrad: Medel
Azure DevOps-lagringsplatser bör ha sårbarhetsgenomsökningsresultat för beroenden lösta
Beskrivning: Beroendesårbarheter har hittats i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.
Allvarlighetsgrad: Medel
Azure DevOps-lagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts
Beskrivning: Infrastruktur som problem med kodsäkerhetskonfiguration har hittats på lagringsplatser. De problem som visas nedan har identifierats i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem.
Allvarlighetsgrad: Medel
Azure DevOps-byggpipelines bör inte ha hemligheter som är tillgängliga för versioner av gafflar
Beskrivning: I offentliga lagringsplatser är det möjligt att personer utanför organisationen skapar förgreningar och kör versioner på den förgrenade lagringsplatsen. Om den här inställningen i så fall är aktiverad kan utomstående få åtkomst till att skapa pipelinehemligheter som var avsedda att vara interna.
Allvarlighetsgrad: Hög
Azure DevOps-tjänstanslutningar bör inte bevilja åtkomst till alla pipelines
Beskrivning: Tjänstanslutningar används för att skapa anslutningar från Azure Pipelines till externa tjänster och fjärrtjänster för att utföra uppgifter i ett jobb. Pipelinebehörigheter styr vilka pipelines som har behörighet att använda tjänstanslutningen. För att stödja säkerheten för pipelineåtgärderna bör tjänstanslutningar inte beviljas åtkomst till alla YAML-pipelines. Detta bidrar till att upprätthålla principen om lägsta behörighet eftersom en säkerhetsrisk i komponenter som används av en pipeline kan utnyttjas av en angripare för att attackera andra pipelines som har åtkomst till kritiska resurser.
Allvarlighetsgrad: Hög
Azure DevOps-säkra filer bör inte bevilja åtkomst till alla pipelines
Beskrivning: Säkra filer ger utvecklare ett sätt att lagra filer som kan delas mellan pipelines. Dessa filer används vanligtvis för att lagra hemligheter som signeringscertifikat och SSH-nycklar. Om en säker fil beviljas åtkomst till alla YAML-pipelines kan en obehörig användare stjäla information från de säkra filerna genom att skapa en YAML-pipeline och komma åt den säkra filen.
Allvarlighetsgrad: Hög
Azure DevOps-variabelgrupper med hemliga variabler bör inte ge åtkomst till alla pipelines
Beskrivning: Variabelgrupper lagrar värden och hemligheter som du kanske vill skicka till en YAML-pipeline eller göra tillgängliga i flera pipelines. Du kan dela och använda variabelgrupper i flera pipelines i samma projekt. Om en variabelgrupp som innehåller hemligheter markeras som tillgänglig för alla YAML-pipelines kan en angripare utnyttja de tillgångar som involverar de hemliga variablerna genom att skapa en ny pipeline.
Allvarlighetsgrad: Hög
Azure DevOps klassiska Azure-tjänstanslutningar bör inte användas för att komma åt en prenumeration
Beskrivning: Använd azure resource manager-typen (ARM) för tjänstanslutningar i stället för klassiska Azure-tjänstanslutningar för att ansluta till Azure-prenumerationer. ARM-modellen erbjuder flera säkerhetsförbättringar, inklusive starkare åtkomstkontroll, förbättrad granskning, ARM-baserad distribution/styrning, åtkomst till hanterade identiteter och nyckelvalv för hemligheter, Entra-behörighetsbaserad autentisering och stöd för taggar och resursgrupper för effektiv hantering.
Allvarlighetsgrad: Medel
(Förhandsversion) Azure DevOps-lagringsplatser bör ha api-säkerhetstestresultat lösta
Beskrivning: Säkerhetsrisker för API har hittats i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.
Allvarlighetsgrad: Medel
GitHub-rekommendationer
GitHub-lagringsplatser ska ha hemlig genomsökning aktiverat
Beskrivning: GitHub söker igenom lagringsplatser efter kända typer av hemligheter för att förhindra bedräglig användning av hemligheter som av misstag har checkats in på lagringsplatser. Hemlig genomsökning söker igenom hela Git-historiken på alla grenar som finns på GitHub-lagringsplatsen efter hemligheter. Exempel på hemligheter är token och privata nycklar som en tjänstleverantör kan utfärda för autentisering. Om en hemlighet checkas in på en lagringsplats kan alla som har läsbehörighet till lagringsplatsen använda hemligheten för att komma åt den externa tjänsten med dessa privilegier. Hemligheter ska lagras på en dedikerad och säker plats utanför lagringsplatsen för projektet.
Allvarlighetsgrad: Hög
GitHub-lagringsplatser ska ha kodgenomsökning aktiverat
Beskrivning: GitHub använder kodgenomsökning för att analysera kod för att hitta säkerhetsrisker och fel i koden. Kodgenomsökning kan användas för att hitta, sortera och prioritera korrigeringar för befintliga problem i koden. Kodgenomsökning kan också hindra utvecklare från att införa nya problem. Genomsökningar kan schemaläggas för specifika dagar och tider, eller genomsökningar kan utlösas när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Om kodgenomsökningen hittar en potentiell säkerhetsrisk eller ett fel i koden visar GitHub en avisering på lagringsplatsen. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada projektets konfidentialitet, integritet eller tillgänglighet.
Allvarlighetsgrad: Medel
GitHub-lagringsplatser ska ha Dependabot-genomsökning aktiverat
Beskrivning: GitHub skickar Dependabot-aviseringar när den identifierar säkerhetsrisker i kodberoenden som påverkar lagringsplatser. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada konfidentialiteten, integriteten eller tillgängligheten för projektet eller andra projekt som använder koden. Sårbarheter varierar i typ, allvarlighetsgrad och attackmetod. När koden är beroende av ett paket som har en säkerhetsrisk kan det här sårbara beroendet orsaka en rad problem.
Allvarlighetsgrad: Medel
GitHub-lagringsplatser bör ha hemliga genomsökningsresultat lösta
Beskrivning: Hemligheter har hittats i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras.
Allvarlighetsgrad: Hög
GitHub-lagringsplatser bör ha kodgenomsökningsresultat lösta
Beskrivning: Sårbarheter har hittats i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.
Allvarlighetsgrad: Medel
GitHub-lagringsplatser bör ha upptäckter av sårbarhetsgenomsökning av beroenden lösta
Beskrivning: GitHub-lagringsplatser bör ha upptäckter av sårbarhetsgenomsökning av beroenden lösta.
Allvarlighetsgrad: Medel
GitHub-lagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts
Beskrivning: Infrastruktur som problem med kodsäkerhetskonfiguration har hittats på lagringsplatser. De problem som visas nedan har identifierats i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem.
Allvarlighetsgrad: Medel
GitHub-lagringsplatser bör ha skyddsprinciper för standardgren aktiverat
Beskrivning: Standardgrenen för lagringsplatsen bör skyddas via principer för grenskydd för att förhindra att oavsiktliga/skadliga ändringar checkas in direkt på lagringsplatsen.
Allvarlighetsgrad: Hög
GitHub-lagringsplatser ska ha framtvingade push-överföringar till standardgrenen inaktiverad
Beskrivning: Eftersom standardgrenen vanligtvis används för distribution och andra privilegierade aktiviteter bör eventuella ändringar av den hanteras med försiktighet. Aktivering av framtvingade push-meddelanden kan medföra oavsiktliga eller skadliga ändringar i standardgrenen.
Allvarlighetsgrad: Medel
GitHub-organisationer bör ha aktiverat push-skydd för hemlig genomsökning
Beskrivning: Push Protection blockerar incheckningar som innehåller hemligheter, vilket förhindrar oavsiktlig exponering av hemligheter. För att undvika risken för exponering av autentiseringsuppgifter bör Push Protection automatiskt aktiveras för varje hemlig genomsökningsaktiverad lagringsplats.
Allvarlighetsgrad: Hög
GitHub-lagringsplatser ska inte använda lokalt installerade löpare
Beskrivning: Lokalt installerade löpare på GitHub saknar garantier för drift i tillfälliga rena virtuella datorer och kan ständigt komprometteras av obetrodd kod i ett arbetsflöde. Därför bör lokalt installerade löpare inte användas för åtgärdsarbetsflöden.
Allvarlighetsgrad: Hög
GitHub-organisationer bör ha behörigheter för åtgärdsarbetsflödet inställda på skrivskyddade
Beskrivning: Som standard bör åtgärdsarbetsflöden beviljas skrivskyddade behörigheter för att förhindra att skadliga användare utnyttjar överbehörighetade arbetsflöden för att få åtkomst till och manipulera resurser.
Allvarlighetsgrad: Hög
GitHub-organisationer bör ha fler än en person med administratörsbehörighet
Beskrivning: Om du har minst två administratörer minskar risken för att administratörsåtkomsten går förlorad. Detta är användbart i händelse av scenarier med brytglaskonton.
Allvarlighetsgrad: Hög
GitHub-organisationer bör ha grundläggande behörigheter inställda på inga behörigheter eller läsbehörigheter
Beskrivning: Grundläggande behörigheter ska anges till ingen eller läsas för att en organisation ska kunna följa principen om minsta behörighet och förhindra onödig åtkomst.
Allvarlighetsgrad: Hög
(Förhandsversion) GitHub-lagringsplatser bör ha api-säkerhetstestresultat lösta
Beskrivning: Säkerhetsrisker för API har hittats i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.
Allvarlighetsgrad: Medel
GitLab-rekommendationer
GitLab-projekt bör ha hemliga genomsökningsresultat lösta
Beskrivning: Hemligheter har hittats i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras.
Allvarlighetsgrad: Hög
GitLab-projekt bör ha kodgenomsökningsresultat lösta
Beskrivning: Sårbarheter har hittats i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.
Allvarlighetsgrad: Medel
GitLab-projekt bör ha problem med sårbarhetsgenomsökning av beroenden lösta
Beskrivning: GitHub-lagringsplatser bör ha upptäckter av sårbarhetsgenomsökning av beroenden lösta.
Allvarlighetsgrad: Medel
GitLab-projekt bör ha infrastruktur när kodgenomsökningsresultaten har lösts
Beskrivning: Infrastruktur som problem med kodsäkerhetskonfiguration har hittats på lagringsplatser. De problem som visas nedan har identifierats i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem.
Allvarlighetsgrad: Medel
Inaktuella Säkerhetsrekommendationer för DevOps
Kodlagringsplatser bör ha kodgenomsökningsresultat lösta
Beskrivning: DevOps-säkerhet i Defender för molnet har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip)
Allvarlighetsgrad: Medel
Kodlagringsplatser bör ha hemliga genomsökningsresultat lösta
Beskrivning: DevOps-säkerhet i Defender för molnet har hittat en hemlighet i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras. För Azure DevOps genomsöker Microsoft Security DevOps CredScan-verktyget endast versioner som det har konfigurerats att köras på. Därför kanske resultatet inte återspeglar den fullständiga statusen för hemligheter i dina lagringsplatser. (Ingen relaterad princip)
Allvarlighetsgrad: Hög
Kodlagringsplatser bör ha Dependabot-genomsökningsresultat lösta
Beskrivning: DevOps-säkerhet i Defender för molnet har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip)
Allvarlighetsgrad: Medel
Kodlagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts
Beskrivning: DevOps-säkerhet i Defender för molnet har hittat infrastruktur som problem med kodsäkerhetskonfiguration i lagringsplatser. De problem som visas nedan har identifierats i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem. (Ingen relaterad princip)
Allvarlighetsgrad: Medel
GitHub-lagringsplatser ska ha kodgenomsökning aktiverat
Beskrivning: GitHub använder kodgenomsökning för att analysera kod för att hitta säkerhetsrisker och fel i koden. Kodgenomsökning kan användas för att hitta, sortera och prioritera korrigeringar för befintliga problem i koden. Kodgenomsökning kan också hindra utvecklare från att införa nya problem. Genomsökningar kan schemaläggas för specifika dagar och tider, eller genomsökningar kan utlösas när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Om kodgenomsökningen hittar en potentiell säkerhetsrisk eller ett fel i koden visar GitHub en avisering på lagringsplatsen. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada projektets konfidentialitet, integritet eller tillgänglighet. (Ingen relaterad princip)
Allvarlighetsgrad: Medel
GitHub-lagringsplatser ska ha hemlig genomsökning aktiverat
Beskrivning: GitHub söker igenom lagringsplatser efter kända typer av hemligheter för att förhindra bedräglig användning av hemligheter som av misstag har checkats in på lagringsplatser. Hemlig genomsökning söker igenom hela Git-historiken på alla grenar som finns på GitHub-lagringsplatsen efter hemligheter. Exempel på hemligheter är token och privata nycklar som en tjänstleverantör kan utfärda för autentisering. Om en hemlighet checkas in på en lagringsplats kan alla som har läsbehörighet till lagringsplatsen använda hemligheten för att komma åt den externa tjänsten med dessa privilegier. Hemligheter ska lagras på en dedikerad och säker plats utanför lagringsplatsen för projektet. (Ingen relaterad princip)
Allvarlighetsgrad: Hög
GitHub-lagringsplatser ska ha Dependabot-genomsökning aktiverat
Beskrivning: GitHub skickar Dependabot-aviseringar när den identifierar säkerhetsrisker i kodberoenden som påverkar lagringsplatser. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada konfidentialiteten, integriteten eller tillgängligheten för projektet eller andra projekt som använder koden. Sårbarheter varierar i typ, allvarlighetsgrad och attackmetod. När koden är beroende av ett paket som har en säkerhetsrisk kan det här sårbara beroendet orsaka en rad problem. (Ingen relaterad princip)
Allvarlighetsgrad: Medel