Konfigurera GitHub Advanced Security för Azure DevOps

GitHub Advanced Security för Azure DevOps lägger till GitHub Advanced Securitys uppsättning säkerhetsfunktioner till Azure Repos.

GitHub Advanced Security för Azure innehåller:

• Push-skydd för hemlig genomsökning: Kontrollera om kod push-överföring innehåller incheckningar som exponerar hemligheter, till exempel autentiseringsuppgifter
• Genomsökning av lagringsplats för hemlig genomsökning: sök igenom lagringsplatsen och leta efter exponerade hemligheter som har begåtts av misstag
• Genomsökning av beroenden – sök efter kända sårbarheter i öppen källkod beroenden (direkt och transitiv)
• Kodgenomsökning – använd CodeQL-motorn för statisk analys för att identifiera programsårbarheter på kodnivå, till exempel SQL-inmatning och förbikoppling av autentisering

För närvarande är GitHub Advanced Security för Azure DevOps endast tillgängligt för Azure DevOps Services och det finns inga planer på att ta den här produkten till Azure DevOps Server.

GitHub Advanced Security för Azure DevOps fungerar med Azure Repos. Om du vill använda GitHub Advanced Security med GitHub-lagringsplatser läser du GitHub Advanced Security.

Förutsättningar

Du måste ha behörigheter allokerade som medlem i gruppen Administratörer för projektsamling. Information om hur du lägger till medlemmar i gruppen Projektsamlingsadministratörer eller ändrar en behörighet på projektsamlingsnivå finns i Ändra behörigheter på projektsamlingsnivå.

Extra krav för lokalt installerade agenter

Om din organisation använder lokalt installerade agenter finns det fler krav:

• Lägg till dessa URL:er i listan över tillåtna för att tillåta att beroendegenomsökningsaktiviteten hämtar rådgivande data för sårbarhet. Läs mer om Tillåtna IP-adresser och domän-URL:er.

Domän-URL	beskrivning
https://governance.dev.azure.com/{organization_name}	För organisationer som använder dev.azure.com domänen för att få åtkomst till sin DevOps-instans
https://dev.azure.com/{organization_name}	För organisationer som använder dev.azure.com domänen för att få åtkomst till sin DevOps-instans
https://advsec.dev.azure.com/{organization_name}	För organisationer som använder dev.azure.com domänen för att få åtkomst till sin DevOps-instans
https://{organization_name}.governance.visualstudio.com/	För organisationer som använder domänen {organization_name}.visualstudio.com för att få åtkomst till sin DevOps-instans
https://{organization_name}.visualstudio.com	För organisationer som använder domänen {organization_name}.visualstudio.com för att få åtkomst till sin DevOps-instans
https://{organization_name}.advsec.visualstudio.com/	För organisationer som använder domänen {organization_name}.visualstudio.com för att få åtkomst till sin DevOps-instans

• Kör en kompatibel version av .NET-körningen (för närvarande .NET 6.0.x). Om det inte finns någon kompatibel version på agenten laddar beroendegenomsökning ned .NET.

• Installera CodeQL-paketet i agentverktygets cacheminne genom att använda installationsskriptet för din arkitektur, som är tillgängligt på GitHub. Dessa skript kräver $AGENT_TOOLSDIRECTORY att miljövariabeln anges till platsen för agentverktygskatalogen på agenten, t.ex. C:/agent/_work/_tool. Du kan också implementera följande steg manuellt:

  1. Välj det senaste CodeQL-versionspaketet från GitHub.
  2. Ladda ned och packa upp paketet till följande katalog i agentverktygskatalogen, som vanligtvis finns under _work/_tool: ./CodeQL/0.0.0-[codeql-release-bundle-tag]/x64/. Med den aktuella versionen av v2.16.0skulle mappnamnet ha titeln ./CodeQL/0.0.0-codeql-bundle-v2.16.0/x64/. Läs mer om agentverktygskatalogen.
  3. Skapa en tom fil med titeln x64.complete i ./CodeQL/0.0.0-[codeql-release-bundle-tag] mappen. Med hjälp av föregående exempel ska slutfilsökvägen till filen x64.complete vara ./CodeQL/0.0.0-codeql-bundle-v2.16.0/x64.complete.

Aktivera GitHub Advanced Security

Du kan aktivera Avancerad säkerhet på organisations-, projekt- eller lagringsplatsnivå. För att få åtkomst till var och en av genomsökningsverktygen och resultaten måste du först aktivera Avancerad säkerhet. När du aktiverar Avancerad säkerhet blockeras alla framtida push-meddelanden som innehåller hemligheter till en lagringsplats med den här principen aktiverade, och genomsökning av lagringsplatshemligheter sker i bakgrunden.

Registrering på lagringsplatsnivå

1. Gå till dina Projektinställningar för ditt Azure DevOps-projekt.
2. Välj Lagringsplatser>.
3. Välj den lagringsplats som du vill aktivera Avancerad säkerhet för.
4. Välj Aktivera och Börja fakturering för att aktivera Avancerad säkerhet. Nu visas en sköldikon i lagringsplatsens vy för alla lagringsplatser med Advanced Security aktiverat.

Onboarding på projektnivå

1. Gå till dina Projektinställningar för ditt Azure DevOps-projekt.
2. Välj Lagringsplatser.
3. Välj fliken Inställningar.
4. Välj Aktivera alla så visas en uppskattning för antalet aktiva incheckningar för projektet.
5. Välj Börja fakturering för att aktivera Avancerad säkerhet för varje befintlig lagringsplats i projektet.
6. Du kan också välja Aktivera Avancerad säkerhet automatiskt för nya lagringsplatser så att alla nyligen skapade lagringsplatser har Advanced Security aktiverat när de skapas.

Registrering på organisationsnivå

1. Gå till organisationsinställningarna för din Azure DevOps-organisation.
2. Välj Databaser.
3. Välj Aktivera alla så visas en uppskattning för antalet aktiva incheckningar för din organisation.
4. Välj Börja fakturering för att aktivera Avancerad säkerhet för varje befintlig lagringsplats i varje projekt i din organisation.
5. Du kan också välja Aktivera Avancerad säkerhet automatiskt för nya lagringsplatser så att alla nyligen skapade projekt har Advanced Security aktiverat när de skapas.

Konfigurera genomsökning av hemlighet

Push-skydd för hemlig genomsökning och genomsökning av lagringsplatser aktiveras automatiskt när du aktiverar Avancerad säkerhet. Du kan aktivera eller inaktivera hemligt push-skydd från lagringsplatsens inställningssida.

Som nämnts startas genomsökningen av lagringsplatsen för hemlig genomsökning automatiskt när avancerad säkerhet aktiveras för en vald lagringsplats.

Konfigurera beroendegenomsökning

Beroendegenomsökning är ett pipelinebaserat genomsökningsverktyg. Resultaten aggregeras per lagringsplats. Vi rekommenderar att du lägger till beroendegenomsökningsaktiviteten i alla pipelines som du vill ska genomsökas.

Dricks

För de mest exakta genomsökningsresultaten måste du lägga till beroendegenomsökningsaktiviteten genom att följa stegen för att skapa och/eller paketåterställning i en pipeline som skapar den kod som du vill genomsöka.

YAML

Lägg till uppgiften Advanced Security Dependency Scanning task (AdvancedSecurity-Dependency-Scanning@1) direkt i YAML-pipelinefilen eller välj uppgiften Advanced Security Dependency Scanning från aktivitetsassistenten.

Klassisk

Lägg till uppgiften i Advanced Security Dependency Scanning pipelinen.

Om du vill generera aviseringar kör du din första genomsökning med en pipeline med beroendegenomsökningsuppgiften inkluderad.

Konfigurera kodgenomsökning

Kodgenomsökning är också ett pipelinebaserat genomsökningsverktyg där resultaten aggregeras per lagringsplats.

Dricks

Vi rekommenderar att du lägger till kodgenomsökningsaktiviteten i en separat klonad pipeline för din huvudsakliga produktionspipeline eller skapar en ny pipeline. Det beror på att kodgenomsökning kan vara en mer tidsintensiv bygguppgift.

YAML

Lägg till aktiviteterna i följande ordning:

1. Avancerad säkerhet Initiera CodeQL (AdvancedSecurity-Codeql-Init@1)
2. Dina anpassade byggsteg
3. Advanced Security Utför CodeQL-analys (AdvancedSecurity-Codeql-Analyze@1)

Dessutom måste du ange vilka språk du analyserar i uppgiften Initiera CodeQL. En kommaavgränsad lista kan användas för att analysera flera språk samtidigt. De språk som stöds är csharp, cpp, go, java, javascript, python, ruby, swift.

Här är ett exempel på en startpipeline:

trigger:
  - main

pool:
  # Additional hosted image options are available: https://learn.microsoft.com/en-us/azure/devops/pipelines/agents/hosted#software
  vmImage: ubuntu-latest

steps:

  - task: AdvancedSecurity-Codeql-Init@1
    inputs:
      languages: "java"
      # Supported languages: csharp, cpp, go, java, javascript, python, ruby, swift
      # You can customize the initialize task: https://learn.microsoft.com/en-us/azure/devops/pipelines/tasks/reference/advanced-security-codeql-init-v1?view=azure-pipelines

#   Add your custom build steps here
# - Ensure that all code to be scanned is compiled (often using a `clean` command to ensure you are building from a clean state).
# - Disable the use of any build caching mechanisms as this can interfere with CodeQL's ability to capture all the necessary data during the build.
# - Disable the use of any distributed/multithreaded/incremental builds as CodeQL needs to monitor executions of the compiler to construct an accurate representation of the application.
# - For dependency scanning, ensure you have a package restore step for more accurate results.

# If you had a Maven app:
#   - task: Maven@4
#     inputs:
#       mavenPomFile: 'pom.xml'
#       goals: 'clean package'
#       publishJUnitResults: true
#       testResultsFiles: '**/TEST-*.xml'
#       javaHomeOption: 'JDKVersion'
#       jdkVersionOption: '1.17'
#       mavenVersionOption: 'Default'

# Or a general script:
#   - script: |
#       echo "Run, Build Application using script"
#       ./location_of_script_within_repo/buildscript.sh

  - task: AdvancedSecurity-Dependency-Scanning@1 # More details on this task: https://learn.microsoft.com/en-us/azure/devops/pipelines/tasks/reference/advanced-security-dependency-scanning-v1?view=azure-pipelines

  - task: AdvancedSecurity-Codeql-Analyze@1 # More details on this task: https://learn.microsoft.com/en-us/azure/devops/pipelines/tasks/reference/advanced-security-codeql-analyze-v1?view=azure-pipelines

Dricks

CodeQL-analys för Kotlin/Swift är för närvarande i betaversion. Under betaversionen blir analysen av dessa språk mindre omfattande än CodeQL-analys av andra. Använd java för att analysera kod som skrivits i Java, Kotlin eller båda. Använd javascript för att analysera kod som skrivits i JavaScript, TypeScript eller båda.

Om det angivna språket är cpp, java, csharp eller swift om antingen anpassade steg eller AutoBuild byggsteg krävs. Om AutoBuild ingår för andra språk slutförs steget utan att utföra någon åtgärd.

Klassisk

Lägg till aktiviteterna i följande ordning:

1. Advanced Security Initialize CodeQL
2. Advanced Security AutoBuild (språkberoende) eller ersätt detta med dina egna anpassade byggsteg
3. Advanced Security Perform CodeQL Analysis

Dessutom måste du ange vilka språk som du analyserar i uppgiften Initiera CodeQL. Om det angivna språket är cpp, java, csharp eller swift, om antingen anpassade steg eller AutoBuild byggsteg krävs. Om AutoBuild ingår för andra språk slutförs steget utan att utföra någon åtgärd.

Om du vill generera aviseringar kör du din första genomsökning med en pipeline med de kodgenomsökningsuppgifter som ingår.

Om du av någon anledning behöver inaktivera Avancerad säkerhet behålls eventuella aviseringar och status för aviseringar för nästa gång du återaktiverar Avancerad säkerhet för lagringsplatsen.

Nästa steg

• Kodgenomsökningsaviseringar för GitHub Advanced Security för Azure DevOps
• Aviseringar om beroendegenomsökning för GitHub Advanced Security för Azure DevOps
• Aviseringar om hemlig genomsökning för GitHub Advanced Security för Azure DevOps
• Behörigheter för GitHub Advanced Security för Azure DevOps
• Fakturering för GitHub Advanced Security för Azure DevOps