Microsoft Security DevOps GitHub eylemini yapılandırma
Microsoft Security DevOps, statik analiz araçlarını geliştirme yaşam döngüsüyle tümleştiren bir komut satırı uygulamasıdır. Güvenlik DevOps, SDL, güvenlik ve uyumluluk araçları gibi statik çözümleme araçlarının en son sürümlerini yükler, yapılandırır ve çalıştırır. Güvenlik DevOps, birden çok ortamda belirleyici yürütmeyi sağlayan taşınabilir yapılandırmalarla veri odaklıdır.
Microsoft Güvenlik DevOps aşağıdaki Açık Kaynak araçlarını kullanır:
Adı | Dil | Lisans |
---|---|---|
Antimalware | Uç Nokta için Microsoft Defender karşı Windows'ta kötü amaçlı yazılımdan koruma, kötü amaçlı yazılım taraması yapar ve kötü amaçlı yazılım bulunursa derlemeyi bozar. Bu araç windows-latest aracıda varsayılan olarak tarar. | Açık Kaynak Değil |
Haydut | Python | Apache Lisansı 2.0 |
BinSkim | İkili--Windows, ELF | MIT Lisansı |
ESlint | JavaScript | MIT Lisansı |
Şablon Çözümleyicisi | ARM Şablonu, Bicep | MIT Lisansı |
Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Apache Lisansı 2.0 |
Önemsiz | kapsayıcı görüntüleri, Kod Olarak Altyapı (IaC) | Apache Lisansı 2.0 |
Önkoşullar
Azure aboneliği Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
GitHub depolarınızı Bağlan.
GitHub Gelişmiş Güvenliği'ni Bulut için Defender DevOps duruş değerlendirmelerini görüntülemek üzere ayarlamak için kılavuzu izleyin.
Microsoft Security DevOps GitHub eylemini yeni bir pencerede açın.
GitHub deposunda İş Akışı izinlerinin Okuma ve Yazma olarak ayarlandığından emin olun. Bu, Bulut için Defender ile federasyon için GitHub İş Akışı'nda "kimlik belirteci: yazma" izinlerini ayarlamayı içerir.
Microsoft Security DevOps GitHub eylemini yapılandırma
GitHub eylemini ayarlamak için:
GitHub'da oturum açma.
GitHub eylemini yapılandırmak istediğiniz bir depo seçin.
Eylemler'i seçin.
Yeni iş akışı'ı seçin.
GitHub Actions'ı kullanmaya başlama sayfasında, iş akışını kendiniz ayarla'yı seçin
Metin kutusuna iş akışı dosyanız için bir ad girin. Örneğin,
msdevopssec.yml
.Aşağıdaki örnek eylem iş akışını kopyalayıp Yeni dosyayı düzenle sekmesine yapıştırın.
name: MSDO windows-latest on: push: branches: - main jobs: sample: name: Microsoft Security DevOps Analysis # MSDO runs on windows-latest. # ubuntu-latest also supported runs-on: windows-latest permissions: contents: read id-token: write security-events: write steps: # Checkout your code repository to scan - uses: actions/checkout@v3 # Run analyzers - name: Run Microsoft Security DevOps Analysis uses: microsoft/security-devops-action@latest id: msdo with: # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig'). # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub. # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all. # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all. # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'. # Upload alerts to the Security tab - name: Upload alerts to Security tab uses: github/codeql-action/upload-sarif@v2 with: sarif_file: ${{ steps.msdo.outputs.sarifFile }} # Upload alerts file as a workflow artifact - name: Upload alerts file as a workflow artifact uses: actions/upload-artifact@v3 with: name: alerts path: ${{ steps.msdo.outputs.sarifFile }}
İşlemeyi başlat'ı seçin
Yeni dosya işle'yi seçin.
İşlemin tamamlanması bir dakika kadar sürebilir.
Eylemler'i seçin ve yeni eylemin çalıştığını doğrulayın.
Tarama Sonuçlarını Görüntüle
Tarama sonuçlarınızı görüntülemek için:
GitHub'da oturum açma.
Güvenlik>Kodu tarama uyarıları>Aracı'na gidin.
Açılan menüden Araclara göre filtrele'yi seçin.
Kod tarama bulguları GitHub'daki belirli MSDO araçlarına göre filtrelenir. Bu kod tarama sonuçları da Bulut için Defender önerilere alınır.
Daha fazla bilgi edinin
Azure için GitHub eylemleri hakkında bilgi edinin.
İlgili içerik
Bulut için Defender'da DevOps güvenliği hakkında daha fazla bilgi edinin.
GitHub Kuruluşlarınızı Bulut için Defender bağlamayı öğrenin.