DevOps kaynakları için güvenlik önerileri
Bu makalede, Ortam ayarları sayfasını kullanarak bir Azure DevOps, GitHub veya GitLab ortamına bağlanırsanız Bulut için Microsoft Defender'da görebileceğiniz öneriler listelenir. Ortamınızda görüntülenen öneriler, koruduğunuz kaynakları ve özelleştirilmiş yapılandırmanızı temel alır.
Bu önerilere yanıt olarak gerçekleştirebileceğiniz eylemler hakkında bilgi edinmek için bkz. Bulut için Defender'de önerileri düzeltme.
DevOps güvenlik avantajları ve özellikleri hakkında daha fazla bilgi edinin.
DevOps önerileri, güvenlik puanınızı etkilemez. Önce hangi önerilerin çözümlenmesi gerektiğine karar vermek için, her önerinin önem derecesine ve güvenlik puanınız üzerindeki olası etkisine bakın.
Azure DevOps önerileri
Azure DevOps depolarında Azure DevOps için GitHub Gelişmiş Güvenliği (GHAzDO) etkinleştirilmelidir
Açıklama: Bulut için Defender'de DevOps güvenliği, güvenlik ekiplerini Azure DevOps genelinde koddan buluta koruma özelliğiyle güçlendirmek için merkezi bir konsol kullanır. Azure DevOps için GitHub Advanced Security (GHAzDO) depoları için GitHub Advanced Security'yi etkinleştirerek Azure DevOps depolarınızdaki gizli diziler, bağımlılıklar ve kod güvenlik açıklarıyla ilgili bulguları Bulut için Microsoft Defender.
Önem Derecesi: Yüksek
Azure DevOps depolarında gizli dizi tarama bulguları çözümlenmelidir
Açıklama: Kod depolarında gizli diziler bulundu. Güvenlik ihlalini önlemek için hemen düzeltin. Depolarda bulunan gizli diziler sızıntı yapabilir veya saldırganlar tarafından bulunabilir ve bu da bir uygulama veya hizmetin gizliliğinin ihlal edilmesine neden olur. Microsoft Güvenlik DevOps kimlik bilgisi tarama aracı yalnızca üzerinde çalıştırılacak şekilde yapılandırıldığı derlemeleri tarar. Bu nedenle sonuçlar depolarınızdaki gizli dizilerin tam durumunu yansıtmayabilir.
Önem Derecesi: Yüksek
Azure DevOps depolarında kod tarama bulguları çözümlenmelidir
Açıklama: Kod depolarında güvenlik açıkları bulundu. Depoların güvenlik duruşunu geliştirmek için bu güvenlik açıklarını düzeltmeniz kesinlikle önerilir.
Önem Derecesi: Orta
Azure DevOps depolarında bağımlılık güvenlik açığı tarama bulguları çözümlenmelidir
Açıklama: Kod depolarında bulunan bağımlılık güvenlik açıkları. Depoların güvenlik duruşunu geliştirmek için bu güvenlik açıklarını düzeltmeniz kesinlikle önerilir.
Önem Derecesi: Orta
Kod tarama bulguları çözümlendikçe Azure DevOps depolarının altyapısı olmalıdır
Açıklama: Depolarda bulunan kod güvenliği yapılandırma sorunları olarak altyapı. Sorunlar şablon dosyalarında algılandı. İlgili bulut kaynaklarının güvenlik duruşunu geliştirmek için bu sorunların giderilmesi kesinlikle önerilir.
Önem Derecesi: Orta
Azure DevOps işlem hatlarında çatal derlemeleri için kullanılabilir gizli diziler bulunmamalıdır
Açıklama: Genel depolarda, kuruluş dışındaki kişilerin çatal oluşturması ve çatallanmış depoda derlemeler çalıştırması mümkündür. Böyle bir durumda, bu ayar etkinleştirilirse, yabancılar dahili olması amaçlanan işlem hattı gizli dizileri derlemeye erişebilir.
Önem Derecesi: Yüksek
Azure DevOps hizmet bağlantıları tüm işlem hatlarına erişim vermemelidir
Açıklama: Hizmet bağlantıları, bir işte görevleri yürütmek üzere Azure Pipelines'dan dış ve uzak hizmetlere bağlantılar oluşturmak için kullanılır. İşlem hattı izinleri, hangi işlem hatlarının hizmet bağlantısını kullanma yetkisine sahip olduğunu denetler. İşlem hattı işlemlerinin güvenliğini desteklemek için hizmet bağlantılarına tüm YAML işlem hatlarına erişim verilmemelidir. Bir işlem hattı tarafından kullanılan bileşenlerdeki bir güvenlik açığı, kritik kaynaklara erişimi olan diğer işlem hatlarına saldırmak için bir saldırgan tarafından kullanılabildiğinden, bu en düşük ayrıcalık ilkesinin korunmasına yardımcı olur.
Önem Derecesi: Yüksek
Azure DevOps güvenli dosyaları tüm işlem hatlarına erişim vermemelidir
Açıklama: Güvenli dosyalar, geliştiricilere işlem hatları arasında paylaşılabilen dosyaları depolamak için bir yol sağlar. Bu dosyalar genellikle imzalama sertifikaları ve SSH anahtarları gibi gizli dizileri depolamak için kullanılır. Güvenli bir dosyaya tüm YAML işlem hatlarına erişim verilirse, yetkisiz bir kullanıcı YAML işlem hattı oluşturup güvenli dosyaya erişerek güvenli dosyalardan bilgi çalabilir.
Önem Derecesi: Yüksek
Gizli dizi değişkenleri olan Azure DevOps değişken grupları tüm işlem hatlarına erişim vermemelidir
Açıklama: Değişken grupları, bir YAML işlem hattına geçirilmesini veya birden çok işlem hattında kullanılabilir olmasını isteyebileceğiniz değerleri ve gizli dizileri depolar. Aynı projede birden çok işlem hattında değişken gruplarını paylaşabilir ve kullanabilirsiniz. Gizli diziler içeren bir değişken grubu tüm YAML işlem hatları için erişilebilir olarak işaretlenirse, saldırgan yeni bir işlem hattı oluşturarak gizli dizi değişkenlerini içeren varlıklardan yararlanabilir.
Önem Derecesi: Yüksek
Azure DevOps Klasik Azure hizmet bağlantıları aboneliğe erişmek için kullanılmamalıdır
Açıklama: Azure aboneliklerine bağlanmak için Klasik Azure hizmet bağlantıları yerine Azure Resource Manager (ARM) hizmet bağlantısı türünü kullanın. ARM modeli daha güçlü erişim denetimi, geliştirilmiş denetim, ARM tabanlı dağıtım/idare, gizli diziler için yönetilen kimliklere ve anahtar kasasına erişim, İzinleri Kaydetme tabanlı kimlik doğrulaması ve kolaylaştırılmış yönetim için etiketler ve kaynak grupları desteği dahil olmak üzere birden çok güvenlik geliştirmesi sunar.
Önem Derecesi: Orta
(Önizleme) Azure DevOps depolarında API güvenlik testi bulguları çözümlenmelidir
Açıklama: Kod depolarında bulunan API güvenlik açıkları. Depoların güvenlik duruşunu geliştirmek için bu güvenlik açıklarını düzeltmeniz kesinlikle önerilir.
Önem Derecesi: Orta
(Önizleme) Azure DevOps depoları, kod göndermeleri için en az iki gözden geçiren onayı gerektirmelidir
Açıklama: İstenmeyen veya kötü amaçlı değişikliklerin doğrudan işlenmesini önlemek için Azure DevOps depolarında varsayılan dal için koruma ilkeleri uygulamak önemlidir. Kod varsayılan dal ile birleştirilmeden önce en az iki kod gözden geçirenin çekme isteklerini onaylamasını öneririz. En az iki gözden geçirenin onayını gerektirerek, yetkisiz değişiklik riskini azaltabilir ve bu da sistem istikrarsızlıklarına veya güvenlik açıklarına yol açabilir.
Azure DevOps'Bulut için Defender bağladıysanız, bu öneri Bulut için Defender temel güvenlik duruşunda sağlanır.
Önem Derecesi: Yüksek
(Önizleme) Azure DevOps depoları istekte bulunanların kendi Çekme İsteklerini onaylamasına izin vermemelidir
Açıklama: İstenmeyen veya kötü amaçlı değişikliklerin doğrudan işlenmesini önlemek için Azure DevOps depolarında varsayılan dal için koruma ilkeleri uygulamak önemlidir. Her değişikliğin yazar dışında bir kişi tarafından objektif olarak gözden geçirilmesini sağlamak için çekme isteği oluşturucularının kendi gönderimlerini onaylamasını yasaklamanızı öneririz. Bunu yaparak, yetkisiz değişiklik riskini azaltabilir ve bu da sistem istikrarsızlıklarına veya güvenlik açıklarına yol açabilir.
Azure DevOps'Bulut için Defender bağladıysanız, bu öneri Bulut için Defender temel güvenlik duruşunda sağlanır.
Önem Derecesi: Yüksek
GitHub önerileri
GitHub kuruluşları eylem gizli dizilerini tüm depolar için erişilebilir hale getirmemelidir
Açıklama: GitHub kuruluş düzeyinde depolanan GitHub Action iş akışlarında kullanılan gizli diziler için, hangi depoların kuruluş gizli dizilerini kullanabileceğini denetlemek için erişim ilkelerini kullanabilirsiniz. Kuruluş düzeyinde gizli diziler, birden çok depo arasında gizli dizileri paylaşmanıza olanak sağlar. Bu, yinelenen gizli diziler oluşturma gereksinimini azaltır. Ancak, bir gizli dizi bir depo için erişilebilir hale getirildikten sonra, depoda yazma erişimi olan herkes iş akışındaki herhangi bir daldan gizli diziye erişebilir. Saldırı yüzeyini azaltmak için gizli diziye yalnızca seçili depolardan erişildiğinden emin olun.
Azure DevOps'Bulut için Defender bağladıysanız, bu öneri Bulut için Defender temel güvenlik duruşunda sağlanır.
Önem Derecesi: Yüksek
GitHub depolarında gizli dizi taraması etkinleştirilmelidir
Açıklama: GitHub, depolara yanlışlıkla işlenen gizli dizilerin sahte kullanımını önlemek için depoları bilinen gizli dizi türleri için tarar. Gizli dizi taraması, GitHub deposunda bulunan tüm dallarda tüm Git geçmişini tüm gizli diziler için tarar. Gizli dizilere örnek olarak, bir hizmet sağlayıcısının kimlik doğrulaması için verebileceği belirteçler ve özel anahtarlar verilebilir. Depoda gizli dizi denetlenirse, depoya okuma erişimi olan herkes bu ayrıcalıklara sahip dış hizmete erişmek için gizli diziyi kullanabilir. Gizli diziler, projenin deposu dışında ayrılmış, güvenli bir konumda depolanmalıdır.
Önem Derecesi: Yüksek
GitHub depolarında kod tarama etkin olmalıdır
Açıklama: GitHub, koddaki güvenlik açıklarını ve hataları bulmak için kodu analiz etmek için kod taramayı kullanır. Kod tarama, kodunuzdaki mevcut sorunları bulmak, önceliklendirmek ve düzeltmeleri önceliklendirmek için kullanılabilir. Kod tarama, geliştiricilerin yeni sorunlar ortaya çıkarmasını da engelleyebilir. Taramalar belirli gün ve saatler için zamanlanabilir veya depoda belirli bir olay gerçekleştiğinde (gönderim gibi) taramalar tetiklenebilir. Kod tarama kodda olası bir güvenlik açığı veya hata bulursa GitHub depoda bir uyarı görüntüler. Güvenlik açığı, projenin kodunda, projenin gizliliğine, bütünlüğüne veya kullanılabilirliğine zarar vermek için yararlanabilecek bir sorundur.
Önem Derecesi: Orta
GitHub depolarında Dependabot taraması etkinleştirilmelidir
Açıklama: GitHub, depoları etkileyen kod bağımlılıklarındaki güvenlik açıklarını algıladığında Dependabot uyarıları gönderir. Güvenlik açığı, projenin kodunda, projenin veya kodunu kullanan diğer projelerin gizliliğine, bütünlüğüne veya kullanılabilirliğine zarar vermek için kötüye kullanılabilecek bir sorundur. Güvenlik açıkları saldırı türü, önem derecesi ve yöntemi açısından farklılık gösterir. Kod, güvenlik açığı olan bir pakete bağımlı olduğunda, bu savunmasız bağımlılık bir dizi soruna neden olabilir.
Önem Derecesi: Orta
GitHub depolarında gizli dizi tarama bulguları çözümlenmelidir
Açıklama: Kod depolarında bulunan gizli diziler. Güvenlik ihlalini önlemek için bu durum hemen düzeltilmelidir. Depolarda bulunan gizli diziler saldırganlar tarafından sızdırılabilir veya bulunabilir ve bu da bir uygulama veya hizmetin güvenliğinin aşılmasına neden olur.
Önem Derecesi: Yüksek
GitHub depolarında kod tarama bulguları çözümlenmelidir
Açıklama: Kod depolarında bulunan güvenlik açıkları. Depoların güvenlik duruşunu geliştirmek için bu güvenlik açıklarını düzeltmeniz kesinlikle önerilir.
Önem Derecesi: Orta
GitHub depolarında bağımlılık güvenlik açığı tarama bulguları çözümlenmelidir
Açıklama: GitHub depolarında bağımlılık güvenlik açığı tarama bulguları çözümlenmelidir.
Önem Derecesi: Orta
GitHub depolarında kod tarama bulguları çözümlenirken altyapı bulunmalıdır
Açıklama: Kod olarak altyapı güvenlik yapılandırması sorunları depolarda bulundu. Sorunlar şablon dosyalarında algılandı. İlgili bulut kaynaklarının güvenlik duruşunu geliştirmek için bu sorunların giderilmesi kesinlikle önerilir.
Önem Derecesi: Orta
GitHub depolarında varsayılan dal için koruma ilkeleri etkinleştirilmelidir
Açıklama: İstenmeyen/kötü amaçlı değişikliklerin doğrudan depoya işlenmesini önlemek için deponun varsayılan dalı dal koruma ilkeleri aracılığıyla korunmalıdır.
Önem Derecesi: Yüksek
GitHub depolarında varsayılan dala zorla gönderme devre dışı bırakılmalıdır
Açıklama: Varsayılan dal genellikle dağıtım ve diğer ayrıcalıklı etkinlikler için kullanıldığından, bu dalda yapılan tüm değişikliklere dikkatle yaklaşılmalıdır. Zorlamalı gönderimlerin etkinleştirilmesi, varsayılan dalda istenmeyen veya kötü amaçlı değişikliklere neden olabilir.
Önem Derecesi: Orta
GitHub kuruluşlarında gizli dizi tarama anında iletme koruması etkinleştirilmelidir
Açıklama: Anında İletme Koruması gizli diziler içeren işlemeleri engelleyerek gizli dizilerin yanlışlıkla açığa çıkmasını engeller. Kimlik bilgilerinin açığa çıkarma riskini önlemek için, gizli dizi taraması etkinleştirilmiş her depoda Anında İletme Koruması otomatik olarak etkinleştirilmelidir.
Önem Derecesi: Yüksek
GitHub depoları şirket içinde barındırılan çalıştırıcıları kullanmamalıdır
Açıklama: GitHub'da Şirket İçinde Barındırılan Runner'lar kısa ömürlü temiz sanal makinelerde işlem garantisine sahip değil ve iş akışındaki güvenilmeyen kod tarafından sürekli olarak tehlikeye atılabilir. Bu nedenle, Eylem iş akışları için Şirket İçinde Barındırılan Çalıştırıcılar kullanılmamalıdır.
Önem Derecesi: Yüksek
GitHub kuruluşlarının eylem iş akışı izinleri salt okunur olarak ayarlanmalıdır
Açıklama: Varsayılan olarak, kötü amaçlı kullanıcıların kaynaklara erişmek ve üzerinde değişiklik yapmak için aşırı izin verilen iş akışlarından yararlanmasını önlemek için Eylem iş akışlarına salt okunur izinler verilmelidir.
Önem Derecesi: Yüksek
GitHub kuruluşlarında yönetici izinlerine sahip birden fazla kişi olmalıdır
Açıklama: En az iki yöneticinin olması yönetici erişimini kaybetme riskini azaltır. Bu, cam kıran hesap senaryolarında kullanışlıdır.
Önem Derecesi: Yüksek
GitHub kuruluşlarının temel izinleri izin yok veya okundu olarak ayarlanmalıdır
Açıklama: Bir kuruluşun en az ayrıcalık ilkesine uyması ve gereksiz erişimi engellemesi için temel izinler yok olarak ayarlanmalıdır veya okunmalıdır.
Önem Derecesi: Yüksek
(Önizleme) GitHub depolarında API güvenlik testi bulguları çözümlenmelidir
Açıklama: Kod depolarında API güvenlik açıkları bulundu. Depoların güvenlik duruşunu geliştirmek için bu güvenlik açıklarını düzeltmeniz kesinlikle önerilir.
Önem Derecesi: Orta
(Önizleme) GitHub kuruluşları eylem gizli dizilerini tüm depolar için erişilebilir hale getirmemelidir
Açıklama: GitHub kuruluş düzeyinde depolanan GitHub Action iş akışlarında kullanılan gizli diziler için, hangi depoların kuruluş gizli dizilerini kullanabileceğini denetlemek için erişim ilkelerini kullanabilirsiniz. Kuruluş düzeyinde gizli diziler, birden çok depo arasında gizli dizileri paylaşmanıza olanak sağlayarak yinelenen gizli diziler oluşturma gereksinimini azaltır. Ancak, bir gizli dizi bir depo için erişilebilir hale getirildiğinde, depoda yazma erişimi olan herkes iş akışındaki herhangi bir daldan gizli diziye erişebilir. Saldırı yüzeyini azaltmak için gizli diziye yalnızca seçili depolardan erişildiğinden emin olun.
Önem Derecesi: Yüksek
GitLab önerileri
GitLab projelerinin gizli dizi tarama bulguları çözümlenmelidir
Açıklama: Kod depolarında gizli diziler bulundu. Güvenlik ihlalini önlemek için bu durum hemen düzeltilmelidir. Depolarda bulunan gizli diziler saldırganlar tarafından sızdırılabilir veya bulunabilir ve bu da bir uygulama veya hizmetin güvenliğinin aşılmasına neden olur.
Önem Derecesi: Yüksek
GitLab projelerinin kod tarama bulguları çözümlenmelidir
Açıklama: Kod depolarında güvenlik açıkları bulundu. Depoların güvenlik duruşunu geliştirmek için bu güvenlik açıklarını düzeltmeniz kesinlikle önerilir.
Önem Derecesi: Orta
GitLab projelerinin bağımlılık güvenlik açığı tarama bulguları çözümlenmelidir
Açıklama: GitHub depolarında bağımlılık güvenlik açığı tarama bulguları çözümlenmelidir.
Önem Derecesi: Orta
GitLab projelerinin kod tarama bulguları çözümlendikçe altyapıya sahip olması gerekir
Açıklama: Kod olarak altyapı güvenlik yapılandırması sorunları depolarda bulundu. Gösterilen sorunlar şablon dosyalarında algılandı. İlgili bulut kaynaklarının güvenlik duruşunu geliştirmek için bu sorunların giderilmesi kesinlikle önerilir.
Önem Derecesi: Orta
Kullanım dışı DevOps güvenlik önerileri
Kod depolarında kod tarama bulguları çözümlenmelidir
Açıklama: Bulut için Defender'daki DevOps güvenliği, kod depolarında güvenlik açıkları buldu. Depoların güvenlik duruşunu geliştirmek için bu güvenlik açıklarını düzeltmeniz kesinlikle önerilir. (İlişkili ilke yok)
Önem Derecesi: Orta
Kod depolarında gizli dizi tarama bulguları çözümlenmelidir
Açıklama: Bulut için Defender'daki DevOps güvenliği kod depolarında bir gizli dizi buldu. Güvenlik ihlalini önlemek için bu durum hemen düzeltilmelidir. Depolarda bulunan gizli diziler saldırganlar tarafından sızdırılabilir veya bulunabilir ve bu da bir uygulama veya hizmetin güvenliğinin aşılmasına neden olur. Azure DevOps için Microsoft Security DevOps CredScan aracı yalnızca üzerinde çalışmak üzere yapılandırıldığı derlemeleri tarar. Bu nedenle sonuçlar depolarınızdaki gizli dizilerin tam durumunu yansıtmayabilir. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Kod depolarında Dependabot tarama bulguları çözümlenmelidir
Açıklama: Bulut için Defender'daki DevOps güvenliği, kod depolarında güvenlik açıkları buldu. Depoların güvenlik duruşunu geliştirmek için bu güvenlik açıklarını düzeltmeniz kesinlikle önerilir. (İlişkili ilke yok)
Önem Derecesi: Orta
Kod tarama bulguları çözümlendikçe kod depolarının altyapısı olmalıdır
Açıklama: Bulut için Defender'deki DevOps güvenliği, depolarda kod güvenliği yapılandırma sorunları olarak altyapı buldu. Gösterilen sorunlar şablon dosyalarında algılandı. İlgili bulut kaynaklarının güvenlik duruşunu geliştirmek için bu sorunların giderilmesi kesinlikle önerilir. (İlişkili ilke yok)
Önem Derecesi: Orta
GitHub depolarında kod tarama etkin olmalıdır
Açıklama: GitHub, koddaki güvenlik açıklarını ve hataları bulmak için kodu analiz etmek için kod taramayı kullanır. Kod tarama, kodunuzdaki mevcut sorunları bulmak, önceliklendirmek ve düzeltmeleri önceliklendirmek için kullanılabilir. Kod tarama, geliştiricilerin yeni sorunlar ortaya çıkarmasını da engelleyebilir. Taramalar belirli gün ve saatler için zamanlanabilir veya depoda belirli bir olay gerçekleştiğinde (gönderim gibi) taramalar tetiklenebilir. Kod tarama kodda olası bir güvenlik açığı veya hata bulursa GitHub depoda bir uyarı görüntüler. Güvenlik açığı, projenin kodunda, projenin gizliliğine, bütünlüğüne veya kullanılabilirliğine zarar vermek için yararlanabilecek bir sorundur. (İlişkili ilke yok)
Önem Derecesi: Orta
GitHub depolarında gizli dizi taraması etkinleştirilmelidir
Açıklama: GitHub, depolara yanlışlıkla işlenen gizli dizilerin sahte kullanımını önlemek için depoları bilinen gizli dizi türleri için tarar. Gizli dizi taraması, GitHub deposunda bulunan tüm dallarda tüm Git geçmişini tüm gizli diziler için tarar. Gizli dizilere örnek olarak, bir hizmet sağlayıcısının kimlik doğrulaması için verebileceği belirteçler ve özel anahtarlar verilebilir. Depoda gizli dizi denetlenirse, depoya okuma erişimi olan herkes bu ayrıcalıklara sahip dış hizmete erişmek için gizli diziyi kullanabilir. Gizli diziler, projenin deposu dışında ayrılmış, güvenli bir konumda depolanmalıdır. (İlişkili ilke yok)
Önem Derecesi: Yüksek
GitHub depolarında Dependabot taraması etkinleştirilmelidir
Açıklama: GitHub, depoları etkileyen kod bağımlılıklarındaki güvenlik açıklarını algıladığında Dependabot uyarıları gönderir. Güvenlik açığı, projenin kodunda, projenin veya kodunu kullanan diğer projelerin gizliliğine, bütünlüğüne veya kullanılabilirliğine zarar vermek için kötüye kullanılabilecek bir sorundur. Güvenlik açıkları saldırı türü, önem derecesi ve yöntemi açısından farklılık gösterir. Kod, güvenlik açığı olan bir pakete bağımlı olduğunda, bu savunmasız bağımlılık bir dizi soruna neden olabilir. (İlişkili ilke yok)
Önem Derecesi: Orta
İlgili içerik
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin