通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

建议的代码到运行时扩充

新式云应用程序会经历可能包括源代码、管道、注册表和运行时环境的阶段。 小型代码更改可以在环境中创建多个云工作负载。 当运行时出现安全问题时,你可能不知道问题开始的位置或它影响的资产数。

代码到运行时为您提供整个软件开发生命周期(SDLC)的端到端可见性。 此功能可帮助你查找问题的起源、评估其爆破半径,并修复源中的问题。

在继续之前,请查看 先决条件

在看到“代码到运行时”的地方

你可以通过 Microsoft Defender for Cloud 的推荐访问代码到运行时。

注释

目前仅支持容器和容器映像漏洞评估建议。

当 SDLC 上下文可用时,建议页将显示:

  • 显示问题 SDLC 流程的上下文横幅
  • SDLC 链视图:源→ CI/CD 管道→注册表→运行时
  • 受影响资产的动态计数
  • 表示每个 SDLC 阶段的卡片
  • 指向更深入视图和补救措施的链接

“建议”页的屏幕截图,其中显示了“代码到运行时”上下文横幅。

包含 SDLC 链的建议页的屏幕截图。

代码在运行时如何构建端到端上下文

对于任何支持代码到运行时的推荐,Defender 会跨 SDLC 关联数据以识别:

  1. 问题的来源(例如,在代码或生成管道中)。
  2. 涉及哪些中间阶段。 这些阶段包括注册表中的镜像和部署过程中涉及的 CI/CD 管道。
  3. 受影响的资产数量,让你了解影响范围。
  4. 可在每个阶段执行的操作。

为什么此功能很重要

  • 仅在运行时修复可能会导致问题在下一次部署期间重新出现。
  • 在源处修复可防止重复回归。
  • 了解影响有助于规划推出和协调工作。
  • 帮助你确定修复的所有者

沿 SDLC 链从运行时回溯到源头

SDLC 链提供了一个明确的线性路径,用于说明如何创建受影响的工作负荷。 每个阶段显示为卡片。 可以展开此卡片以查看元数据和可用操作。

了解问题的影响范围

在采取措施之前,可以打开 “所有受影响的资产 ”网格以获取详细信息:

  1. 该列表显示来自同一源的受影响资产。 它包括云环境或代码环境中的资产。 修复源中的问题可能会通过自动化 CI/CD 过程或手动部署新代码来影响所有受影响的资产。
  2. 可以根据首选项筛选列表。 例如,可以按 Kubernetes 命名空间筛选运行时资产,以便将问题分配给特定的开发团队。 还可以按相关资产元数据(如图像标记、标签等)进行筛选。
  3. 选择一行时,系统会显示该问题实例的更多详细信息。

网格显示:

  • 同一安全问题和相同来源的每个受影响资源
  • 根据资源类型的不同元数据项
  • 筛选和导航选项

这有助于您。

  • 确定问题的优先级
  • 协调与负责团队的合作
  • 确定是否需要分阶段推出
  • 避免无意破坏依赖工作负载

处理缺失或部分数据

由于缺少以下先决条件,某些 SDLC 阶段可能不会显示完整数据:

  • 禁用的连接器
  • 缺少权限
  • 缺少管道信号
  • 不受支持的配置

对于所有缺失或部分数据,Defender 提供:

  • 明确有关缺失数据的说明
  • 启用或配置缺少组件的指南
  • 扩展 SDLC 可见性的可实践路径

根据这些见解采取行动

了解问题及其影响后,请选择相应的下一步:

分配所有权

将建议直接分配给 Defender for Cloud 内部的人员或团队。

如果启用了存储库集成,可以:

  • 使用 SDLC 上下文自动填充问题
  • 将其直接路由到相关的修复程序
  • 提供有关需要更改的内容的精确指导

详细了解 Defender for cloud 和 GitHub 集成

注释

此功能目前仅在 Azure 门户中可用。

以一致的方式应用豁免。

如果您临时或永久豁免一项结果,您可以这样操作:

  • 在最合适的 SDLC 阶段

  • 一次性,而不是在多个工作负载中重复

  • 如果您希望获得对特定结果的可视性,可以使用部分豁免。

示例工作流

典型使用代码到运行时的调查包括以下步骤:

  1. 打开一个容器推荐系统。
  2. 查看 SDLC 上下文横幅。
  3. 确定问题最早出现的阶段。
  4. 展开 SDLC 卡以浏览源、管道、注册表和运行时数据。
  5. 使用影响网格了解受影响的工作负荷数。
  6. 分配所有权或打开 GitHub 议题。
  7. (可选)在适当的软件开发生命周期阶段应用豁免。

总结

从代码到运行时为您提供跨软件开发生命周期(SDLC)的统一上下文视图,以便可以:

  • 查找运行时问题的真正来源
  • 了解其覆盖范围
  • 在最有效的位置修复一次
  • 为工程团队提供可操作的、精确的上下文

这种简化的安全与工程协作减少了重复的手动修正工作。

相关内容

  • Last updated on