Öneriler için çalışma zamanı zenginleştirme kodu

Modern bulut uygulamaları kaynak kodu, işlem hatları, kayıt defterleri ve çalışma zamanı ortamlarını içerebilecek aşamalar arasında hareket eder. Küçük bir kod değişikliği, ortamlarınızda birçok bulut iş yükü oluşturabilir. Çalışma zamanında bir güvenlik sorunu görüntülendiğinde, sorunun nerede başladığını veya kaç varlığı etkilediğini bilmiyor olabilirsiniz.

Koddan çalışma zamanına, yazılım geliştirme yaşam döngüsü (SDLC) genelinde uçtan uca görünürlük sağlar. Bu özellik bir sorunun kaynağını bulmanıza, patlama yarıçapını değerlendirmenize ve sorunu kaynakta düzeltmenize yardımcı olur.

Devam etmeden önce önkoşullara göz atın.

Çalışma zamanına kod gördüğünüz yer

Bulut için Microsoft Defender'daki önerilerden çalışma zamanı koduna erişin.

Uyarı

Şu anda yalnızca kapsayıcılar ve kapsayıcı görüntüleri güvenlik açığı değerlendirmesi önerileri desteklenmektedir.

SDLC bağlamı kullanılabilir olduğunda öneri sayfası şunları gösterir:

  • Sorunun SDLC akışını gösteren bağlam başlığı
  • SDLC zincir görünümü: Kaynak → CI/CD İşlem Hattı → Kayıt Defteri → Çalışma Zamanı
  • Etkilenen varlıkların dinamik sayısı
  • Her SDLC aşamasını temsil eden kartlar
  • Daha derin görünümlere ve düzeltme eylemlerine bağlantılar

Koddan Çalışma Zamanına bağlam başlığını içeren öneriler sayfasının ekran görüntüsü.

SDLC zinciriyle öneriler sayfasının ekran görüntüsü.

Koddan çalışma zamanına uçtan uca bağlam oluşturma

Koddan çalışma zamanına kadar desteklenen tüm öneriler için Defender verileri SDLC genelinde ilişkilendirerek şunları tanımlar:

  1. Sorunun kaynaklandığı yer (örneğin, kodda veya derleme işlem hattında).
  2. Hangi ara aşamaların söz konusu olduğu. Bu aşamalar, kayıt defterindeki görüntüyü ve dağıtımın parçası olan CI/CD işlem hattını içerir.
  3. Kaç varlığın etkilendiği, patlama yarıçapı hakkında görüş sahibi olmanıza neden olur.
  4. Her aşamada gerçekleştirebileceğiniz eylemler.

Bu özellik neden önemlidir?

  • Yalnızca çalışma zamanında düzeltilmesi, sorunun bir sonraki dağıtım sırasında yeniden ortaya çıkmasına neden olabilir.
  • Kaynakta düzeltme, yinelenen regresyonları önler.
  • Etkiyi anlamak, dağıtımları planlamanıza ve çalışmayı koordine olmanıza yardımcı olur.
  • Düzeltmenin sahibini belirlemenize yardımcı olur.

SDLC zincirini çalışma zamanından kaynağa geri doğru izleyin

SDLC zinciri, etkilenen iş yükünün nasıl oluşturulduğunu açıklayan net ve doğrusal bir yol sağlar. Her aşama bir kart olarak görünür. Meta verileri ve kullanılabilir eylemleri görmek için bu kartı genişletebilirsiniz.

Sorunun etki alanını anlamak

Eylem gerçekleştirmeden önce, daha fazla bilgi için Etkilenen tüm varlıklar kılavuzunu açabilirsiniz:

  1. Listede aynı kaynaktan etkilenen varlıklar gösterilir. Bulut ortamındaki veya kod ortamındaki varlıkları içerir. Kaynakta sorunu gidermek, etkilenen tüm varlıkları otomatik CI/CD işlemleri veya yeni kodun el ile dağıtılmasıyla etkileyebilir.
  2. Listeyi tercihlerinize göre filtreleyebilirsiniz. Örneğin, sorunu belirli bir geliştirme ekibine atamak için çalışma zamanı varlıklarını Kubernetes ad alanına göre filtreleyebilirsiniz. Ayrıca görüntü etiketleri, etiketler gibi ilgili varlık meta verilerine göre de filtreleyebilirsiniz.
  3. Bir satır seçtiğinizde sistem, sorunun söz konusu örneğine ilişkin daha fazla ayrıntı gösterir.

Kılavuz şunları gösterir:

  • Aynı güvenlik sorunundan ve aynı kaynaktan etkilenen her kaynak
  • Kaynak türüne göre farklı meta veri öğeleri
  • Filtreleme ve gezinti seçenekleri

Bu size yardımcı olur:

  • Sorunları önceliklendirme
  • Sahip olan ekiplerle eşgüdüm sağlama
  • Aşamalı dağıtım gerekip gerekmediğine karar verme
  • İstenmeyen bağımlı iş yüklerini bozmaktan kaçının

Eksik veya kısmi verileri işleme

Aşağıdaki gibi önkoşullar eksik olduğundan bazı SDLC aşamaları tam veri göstermeyebilir:

  • Devre dışı bırakılmış bağlayıcılar
  • Eksik izinler
  • İşlem hattı sinyalleri yok
  • Desteklenmeyen yapılandırmalar

Her eksik veya kısmi veri için Defender şunları sağlar:

  • Eksik veriler için açık açıklamalar
  • Eksik bileşenleri etkinleştirme veya yapılandırma kılavuzu
  • SDLC görünürlüğünü genişletmek için eyleme dönüştürülebilir bir yol

Bu içgörülere göre hareket etme

Sorunu ve etkisini anladıktan sonra uygun sonraki adımı seçin:

Sahiplik atama

Öneriyi doğrudan Bulut için Defender'ın içindeki bir kişiye veya takıma atayın.

Depo tümleştirmesi etkinleştirildiyse şunları yapabilirsiniz:

  • SDLC bağlamıyla ilgili bir sorunu otomatik doldur
  • Doğrudan ilgili sorun gidericiye yönlendirin
  • Değiştirilmesi gerekenler hakkında kesin rehberlik sağlama

Bulut için Defender ve GitHub tümleştirmesi hakkında daha fazla bilgi edinin.

Uyarı

Bu, şu anda yalnızca Azure portalında kullanılabilir.

Muafiyetleri tutarlı bir şekilde uygulayın.

Bir bulmayı muaf tutarak (geçici veya kalıcı olarak) bunu yapabilirsiniz:

  • Anlamlı olduğu en uygun Yazılım Geliştirme Yaşam Döngüsü (SDLC) aşamasında

  • Tek seferde, birden fazla iş yükünde tekrar tekrar yapmak yerine

  • Seçili bulguların görünürlüğünü istiyorsanız kısmi muafiyetlerle

Örnek iş akışı

Çalışma zamanı için kod kullanan tipik bir araştırma şu adımları içerir:

  1. Konteyner önerisini açın.
  2. SDLC bağlam başlığını gözden geçirin.
  3. Sorunun kaynaklandığı en erken aşamayı belirleyin.
  4. Kaynak, işlem hattı, kayıt defteri ve çalışma zamanı verilerini keşfetmek için SDLC kartlarını genişletin.
  5. Etkilenen iş yükü sayısını anlamak için etki kılavuzunu kullanın.
  6. Sahiplik ata ya da GitHub sorunu aç.
  7. (İsteğe bağlı) Uygun SDLC aşamasında bir muafiyet uygulayın.

Özet

Code to Runtime size SDLC genelinde birleşik, bağlamsal bir görünüm sağlar, böylece şunları yapabilirsiniz:

  • Çalışma zamanı sorununun gerçek kaynağını bulma
  • Kapsamını anlama
  • En etkili yerde bir kez düzeltin
  • Mühendislik ekiplerine eyleme dönüştürülebilir, hassas bağlam sağlama

Güvenlik ve mühendislik arasındaki bu kolaylaştırılmış işbirliği, yinelenen el ile düzeltme çalışmalarını azaltır.

İlgili içerik

  • Last updated on