DevOps Security 的常見問題

取得 Microsoft DevOps Security 常見問題的解答。

為何會在嘗試連線時收到錯誤?

當您選取 [ 授權] 按鈕時,會使用您用來登入的帳戶。 該帳戶可以有相同的電子郵件,但可能有不同的租使用者。 請確定您已在快顯同意畫面和 Visual Studio 中選取正確的帳戶/租用戶組合。

您可以 檢查登入的帳戶。

為什麼找不到我的 Azure DevOps 存放庫?

適用於雲端的 Defender DevOps 安全性上線僅支援存放庫型態 TfsGit。 目前不支援存放庫類型 TFSVC

請確定您已將存放庫上線以 適用於雲端的 Microsoft Defender。 如果您仍然看不到您的存放庫,請確定您已使用正確的 Azure DevOps 組織用戶帳戶登入。 您的 Azure 訂用帳戶和 Azure DevOps 組織必須位於相同的租使用者中。 如果連接器的使用者錯誤,您必須刪除先前建立的連接器、使用正確的使用者帳戶登入,然後重新建立連接器。

為什麼我在選擇卸除該檔案的路徑中看不到產生的 SARIF 檔案?

如果您未在預期的路徑中看到 SARIF 檔案,您可能已選擇與該路徑不同的卸除路徑 CodeAnalysisLogs/msdo.sarif 。 目前您應該將 SARIF 檔案卸載至 CodeAnalysisLogs/msdo.sarif

為什麼我在 適用於雲端的 Microsoft Defender 中看不到 Azure DevOps Projects 的結果?

當您使用傳統管線組態時,請確定您不會變更成品名稱。 這可能會導致看不到項目的結果。 您可以深入瞭解如何 檢閱您的結果

我已成功將 DevOps 連接器上線,哪裡可以找到我的相關建議?

建議您流覽至 [DevOps 安全性] 窗格,以查看 DevOps 安全性狀態的概觀。 您可以依您關心的 DevOps 資源來排序和篩選,以查看建議詳細數據。

您也可以使用 DevOps 活頁簿 ,並根據您的需求加以自定義。

DevOps 安全性產品會儲存關於我和企業的資訊,以及數據儲存和處理的位置為何?

DevOps 安全性功能會連線到原始程式碼管理系統,例如 Azure DevOps、GitHub 和/或 GitLab,為您的 DevOps 資源和安全性狀態提供中央控制台。 DevOps 安全性功能會處理並儲存下列資訊:

  • 線上的原始碼管理系統和相關存放庫上的元數據。 此數據報括使用者、組織和驗證資訊。

  • 掃描結果以取得建議和詳細數據。

DevOps 安全性功能是 適用於雲端的 Microsoft Defender一部分。 請參閱下列數據落地指引歐盟數據界限詳細數據,因為它與 適用於雲端的 Microsoft Defender 服務有關。

DevOps 安全性目前不會處理或儲存您的程式代碼、建置和稽核記錄,但未來可能會隨著其功能擴充。

深入瞭解 Microsoft 隱私聲明

針對我的 Azure DevOps 連接器,為何需要工作專案、建置、程式代碼、服務勾點和進階安全性的寫入許可權?

某些 DevOps 安全性功能需要這些許可權,例如提取要求批注才能運作。

建議豁免功能是否可供使用,並追蹤應用程式安全性 弱點管理?

目前無法在 適用於雲端的 Microsoft Defender 內取得DevOps安全性建議的豁免。

為什麼我看不到 Azure Devops 的 GitHub 進階安全性 (GHAzDO) 會導致 適用於雲端的 Defender?

確認您的連接器已獲得適當 授權

請確定您針對 GHAzDO 和 適用於雲端的 Defender 使用相同的訂用帳戶識別碼。 如果您仍然無法看到結果,可能是您的 ADO 連接器缺少必要範圍所造成的問題。 DevOps 安全性在 6 月引進了 Azure DevOps 連接器的新範圍。 如果您在 6 月之前建立連接器,但尚未更新它,您將無法看到 GHAzDO 結果,因為連接器上缺少範圍。 您必須建立新的 ADO 連接器,這會自動包含新的範圍。

請確定適用於 DevOps 的 Microsoft Defender 的使用者權限已設定 Advanced Security: view alertsReadAllow。 如果 [繼承] 切換已關閉,這些許可權可能會變更。 如果必要許可權設定為 Not setDeny,則必須手動更新為 Allow ,否則 GHAzDO 結果不會出現在 適用於雲端的 Defender 建議中。

Screenshot that shows advanced security permissions.

是否可使用連續、自動掃描?

目前,掃描會在建置階段進行。

為什麼我無法設定提取要求批注?

請確定您擁有訂用帳戶的寫入權(擁有者/參與者) 存取權。 如果您目前沒有這種類型的存取權,您可以透過 在 PIM 中啟用 Microsoft Entra 角色來取得它。

DevOps 安全性功能支援哪些程式設計語言?

DevOps 安全性功能支援下列語言:

  • Python
  • JavaScript
  • TypeScript

如需 GitHub 進階安全性支援的語言清單,請參閱 這裡

我可以將連接器移轉至不同的區域嗎?

例如,我可以將連接器從美國中部區域移轉至西歐區域嗎?

我們目前不支援將 DevOps 安全性連接器從一個區域自動移轉至另一個區域。

如果您想要將 DevOps 連接器的位置移至不同的區域,建議刪除現有的連接器,然後在新的區域中重新建立連接器。

適用於雲端的 Defender 針對我的取用限制進行 API 呼叫嗎?

是,適用於雲端的 Defender 針對 Azure DevOps 全域耗用量限制進行的 API 呼叫。 適用於雲端的 Defender 代表上線連接器的使用者撥打電話。

為什麼我的組織在UI中是空的?

如果您在上線 Azure DevOps 連接器之後,您的組織清單在 UI 中是空的,您必須確定 Azure DevOps 中的組織已連線到具有已驗證連接器使用者的 Azure 租使用者。

如需如何修正此問題的資訊,請參閱 DevOps 問題射擊指南

我有一個具有許多存放庫的大型 Azure DevOps 組織。 我仍然可以上線嗎?

是的,您可以上線DevOps安全性功能的 Azure DevOps 存放庫數量沒有限制。

不過,上線大型組織時有兩個主要影響 – 速度和節流。 DevOps 存放庫的探索速度取決於每個連接器的項目數目(大約每小時 100 個專案)。 節流可能會發生,因為 Azure DevOps API 呼叫具有 全域速率限制 ,因此我們會限制專案探索的呼叫,以使用部分整體配額限制。

請考慮使用替代的 Azure DevOps 身分識別(也就是組織 管理員 istrator 帳戶作為服務帳戶),以避免個別帳戶在上線大型組織時遭到節流。 以下是使用替代身分識別來將 DevOps 安全性連接器上線的一些案例:

  • 大量 Azure DevOps 組織和專案(~500 個專案或更多專案)。
  • 大量的並行組建會在工作時間達到尖峰。
  • 授權的使用者是 Power Platform 使用者,會使用全域速率限制配額來進行額外的 Azure DevOps API 呼叫。

一旦您使用此帳戶將 Azure DevOps 存放庫上線,並在 CI/CD 管線中設定並執行 Microsoft Security DevOps Azure DevOps 擴充功能,掃描結果就會在 適用於雲端的 Microsoft Defender 中立即顯示。