你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
支持和先决条件:DevOps 安全性
本文总结了 Microsoft Defender for Cloud 中的 DevOps 安全性功能的支持信息。
云和区域支持
DevOps 安全性在以下区域的 Azure 商业云中提供:
- 亚洲(东亚)
- 澳大利亚(澳大利亚东部)
- 加拿大(加拿大中部)
- 欧洲(欧洲西部、欧洲北部、瑞典中部)
- 英国(英国南部)
- 美国(美国东部、美国中部)
DevOps 平台支持
DevOps 安全性目前支持以下 DevOps 平台:
所需的权限
DevOps 安全性需要以下权限:
| 功能 | 权限 |
|---|---|
| 将 DevOps 环境连接到 Defender for Cloud |
|
| 查看安全见解和发现 | 安全读取者 |
| 配置拉取请求批注 | 订阅参与者或所有者 |
| 在 Azure DevOps 中安装 Microsoft Security DevOps 扩展 | Azure DevOps 项目集合管理员 |
| 在 GitHub 中安装 Microsoft Security DevOps 操作 | GitHub 写入 |
注意
“安全读取者”角色可以应用于资源组或连接器范围,以避免为实现对 DevOps 安全见解和发现的读取访问而在订阅级别设置高特权权限。
功能可用性
下表汇总了受支持的 DevOps 平台中每个功能的可用性和先决条件:
注意
从 2024 年 3 月 7 日起,必须在租户中的至少一个订阅或多云连接器上启用 Defender CSPM 才能使用高级 DevOps 安全性功能,其中包括代码到云语境化(它支持安全资源管理器和攻击路径)和拉取请求注释(针对基础结构即代码安全性结果)。 如需了解更多信息,请参阅下面的详细信息。
Azure DevOps
| 功能 | 基础 CSPM | Defender CSPM | 先决条件 |
|---|---|---|---|
| 连接 Azure DevOps 存储库 |  |
|
参见此处 |
| 修复代码漏洞的安全建议 | |
|
适用于 Azure DevOps 的 GitHub Advanced Security(用以获取 CodeQL 发现)、Microsoft Security DevOps 扩展 |
| 发现公开机密的安全建议 | |
|
适用于 Azure DevOps 的 GitHub Advanced Security |
| 修复开源漏洞的安全建议 | |
|
适用于 Azure DevOps 的 GitHub Advanced Security |
| 修复基础结构即代码配置错误的安全建议 | |
|
Microsoft Security DevOps 扩展 |
| 修复 DevOps 环境配置错误的安全建议 | |
|
空值 |
| 拉取请求注释 | |
参见此处 | |
| 容器的代码到云映射 | |
Microsoft Security DevOps 扩展 | |
| 基础结构即代码模板的代码到云映射 | |
Microsoft Security DevOps 扩展 | |
| 攻击路径分析 | |
在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM | |
| 云安全资源管理器 | |
在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM |
GitHub
| 功能 | 基础 CSPM | Defender CSPM | 先决条件 |
|---|---|---|---|
| 连接 GitHub 存储库 | |
|
参见此处 |
| 修复代码漏洞的安全建议 | |
|
GitHub Advanced Security、Microsoft Security DevOps 操作 |
| 发现公开机密的安全建议 | |
|
GitHub 高级安全 |
| 修复开源漏洞的安全建议 | |
|
GitHub 高级安全 |
| 修复基础结构即代码配置错误的安全建议 | |
|
GitHub Advanced Security、Microsoft Security DevOps 操作 |
| 修复 DevOps 环境配置错误的安全建议 | |
|
空值 |
| 容器的代码到云映射 | |
Microsoft Security DevOps 操作 | |
| 基础结构即代码模板的代码到云映射 | |
Microsoft Security DevOps 操作 | |
| 攻击路径分析 | |
在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM | |
| 云安全资源管理器 | |
在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM |
GitLab
| 功能 | 基础 CSPM | Defender CSPM | 先决条件 |
|---|---|---|---|
| 连接 GitLab 项目 | |
|
参见此处 |
| 修复代码漏洞的安全建议 | |
|
GitLab Ultimate |
| 发现公开机密的安全建议 | |
|
GitLab Ultimate |
| 修复开源漏洞的安全建议 | |
|
GitLab Ultimate |
| 修复基础结构即代码配置错误的安全建议 | |
|
GitLab Ultimate |
| 云安全资源管理器 | |
在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM |