配置 Microsoft Security DevOps GitHub 操作
Microsoft Security DevOps 是一个命令行应用程序,它将静态分析工具集成到开发生命周期中。 安全 DevOps 安装、配置和运行最新版本的静态分析工具,例如安全开发生命周期 (SDL)、安全性和合规性工具。 Security DevOps 是数据驱动的,具有可移植配置,可实现跨多个环境的确定性执行。
| Name | 语言 | 许可证 |
|---|---|---|
| 反恶意软件 | Windows 中来自 Microsoft Defender for Endpoint 的反恶意软件防护,它会扫描恶意软件并在发现恶意软件时中断构建。 默认情况下,此工具在 Windows 最新代理上扫描。 | 非开放源代码 |
| Bandit | Python | Apache 许可证 2.0 |
| BinSkim | 二进制 - Windows、ELF | MIT 许可证 |
| ESlint | JavaScript | MIT 许可证 |
| 模板分析器 | ARM 模板、Bicep | MIT 许可证 |
| Terrascan | Terraform (HCL2)、Kubernetes (JSON/YAML)、Helm v3、Kustomize、Dockerfiles、CloudFormation | Apache 许可证 2.0 |
| Trivy | 容器映像、基础结构即代码 (IaC) | Apache 许可证 2.0 |
先决条件
- Azure 订阅:如果还没有 Azure 订阅,可以在开始前创建一个免费帐户。
- 连接 GitHub 存储库。
- 按照指南设置 GitHub Advanced Security 以查看 Defender for Cloud 中的 DevOps 状况评估。
- 在新窗口中打开 Microsoft Security DevOps GitHub 操作。
- 确保在 GitHub 存储库上将“工作流权限”设置为“读取”和“写入” 。 这包括在 GitHub 工作流中设置“id-token: 写入”权限,方便与 Defender for Cloud 联合。
配置 Microsoft Security DevOps GitHub 操作
设置 GitHub 操作:
登录 GitHub。
选择要在为其配置 GitHub 操作的存储库。
选择“操作”。
选择“新建工作流”。
在“GitHub Actions 入门”页上,选择“自行设置工作流”。
在文本框中,输入工作流文件的名称。 例如
msdevopssec.yml。
将以下示例操作工作流复制并粘贴到“编辑新文件”选项卡中。
选择“开始提交”。
选择“提交新文件”。
选择“操作”并验证新操作是否正在运行。
查看扫描结果
查看扫描结果:
- 登录 GitHub。
- 导航到“安全性”>“代码扫描警报”>“工具”。
- 从下拉菜单中,选择“按工具筛选”。
代码扫描结果将按 GitHub 中的特定 MSDO 工具筛选。 这些代码扫描结果也会拉取到 Defender for Cloud 建议中。