DevOps 安全性支持和先决条件

云和区域支持

DevOps 安全性在以下区域的 Azure 商业云中提供：

DevOps 安全性目前支持以下 DevOps 平台：

DevOps 安全性需要以下权限：

功能	权限
将 DevOps 环境连接到 Defender for Cloud	Azure：订阅参与者或安全 AdminAzure DevOps：目标 OrganizationGitHub 上的项目集合管理员：组织 OwnerGitLab：目标组的组所有者
查看安全见解和发现	安全读取者
配置拉取请求批注	订阅参与者或所有者
在 Azure DevOps 中安装 Microsoft Security DevOps 扩展	Azure DevOps 项目集合管理员
在 GitHub 中安装 Microsoft Security DevOps 操作	GitHub 写入

“安全读取者”角色可以应用于资源组或连接器范围，以避免为实现对 DevOps 安全见解和发现的读取访问而在订阅级别设置高特权权限。

下表汇总了受支持的 DevOps 平台中每个功能的可用性和先决条件：

从 2024 年 3 月 7 日起，必须在租户中的至少一个订阅或多云连接器上启用 Defender CSPM 才能使用高级 DevOps 安全性功能，其中包括代码到云语境化（它支持安全资源管理器和攻击路径）和拉取请求注释（针对基础结构即代码安全性结果）。如需了解更多信息，请参阅下面的详细信息。

功能	基础 CSPM	Defender CSPM	先决条件
连接 Azure DevOps 存储库			参见此处
修复代码漏洞的安全建议			适用于 Azure DevOps 的 GitHub Advanced Security（用以获取 CodeQL 发现）、Microsoft Security DevOps 扩展
发现公开机密的安全建议			适用于 Azure DevOps 的 GitHub Advanced Security
修复开源漏洞的安全建议			适用于 Azure DevOps 的 GitHub Advanced Security
修复基础结构即代码配置错误的安全建议			Microsoft Security DevOps 扩展
修复 DevOps 环境配置错误的安全建议			空值
拉取请求注释			参见此处
容器的代码到云映射			Microsoft Security DevOps 扩展
基础结构即代码模板的代码到云映射			Microsoft Security DevOps 扩展
攻击路径分析			在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM
云安全资源管理器			在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM

功能	基础 CSPM	Defender CSPM	先决条件
连接 GitHub 存储库			参见此处
修复代码漏洞的安全建议			GitHub Advanced Security、Microsoft Security DevOps 操作
发现公开机密的安全建议			GitHub 高级安全
修复开源漏洞的安全建议			GitHub 高级安全
修复基础结构即代码配置错误的安全建议			GitHub Advanced Security、Microsoft Security DevOps 操作
修复 DevOps 环境配置错误的安全建议			空值
容器的代码到云映射			Microsoft Security DevOps 操作
基础结构即代码模板的代码到云映射			Microsoft Security DevOps 操作
攻击路径分析			在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM
云安全资源管理器			在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM

功能	基础 CSPM	Defender CSPM	先决条件
连接 GitLab 项目			参见此处
修复代码漏洞的安全建议			GitLab Ultimate
发现公开机密的安全建议			GitLab Ultimate
修复开源漏洞的安全建议			GitLab Ultimate
修复基础结构即代码配置错误的安全建议			GitLab Ultimate
云安全资源管理器			在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM