取得 Microsoft DevOps Security 常見問題的解答。
為何會在嘗試連線時收到錯誤?
選取 [授權] 按鈕時,會使用您登入時使用的帳戶。 該帳戶的電子郵件可能相同,但是租用戶可能不同。 請確定您已在快顯同意畫面和 Visual Studio 中選取正確的帳戶/租用戶組合。
您可以檢查是登入哪個帳戶。
為什麼找不到我的 Azure DevOps 存放庫?
適用於雲端的 Microsoft Defender DevOps Security 上線僅支援存放庫型別 TfsGit。 目前不支援存放庫類型 TFSVC。
請確定您已將存放庫上線至適用於雲端的 Microsoft Defender。 如果您仍然看不到存放庫,請確定您已使用正確的 Azure DevOps 組織使用者帳戶登入。 Azure 訂用帳戶和 Azure DevOps 組織必須位於同一個租用戶。 如果連接器的使用者錯誤,您必須刪除先前建立的連接器、使用正確的使用者帳戶登入,然後重新建立連接器。
為什麼我在選擇卸除檔案的路徑看不到產生的 SARIF 檔案?
如果您在預期的路徑看不到 SARIF 檔案,或許您選擇了與 CodeAnalysisLogs/msdo.sarif 不同的卸除路徑。 目前您應該將 SARIF 檔案卸除至 CodeAnalysisLogs/msdo.sarif。
為什麼我在適用於雲端的 Microsoft Defender 看不到 Azure DevOps Projects 的結果?
使用傳統管道設定時,請確定您未變更成品名稱。 變更可能導致您看不到專案的結果。 您可以深入了解如何檢閱您的結果。
我已成功將 DevOps 連接器上線,哪裡可以找到我的相關建議?
建議您瀏覽至 [DevOps Security] 窗格,查看 DevOps 安全性態勢的概觀。 若要查看建議的詳細資料,您可以依您關心的 DevOps 資源排序和篩選。
您也可以使用 DevOps Workbook,根據您的需求自訂。
DevOps Security 產品儲存哪些關於我和我的企業之資訊,儲存和處理資料的位置在哪裡?
DevOps Security 功能會連線到原始程式碼管理系統,例如 Azure DevOps、GitHub 和/或 GitLab,為您的 DevOps 資源和安全性態勢提供中央主控台。 DevOps Security 功能會處理並儲存下列資訊:
連線之原始程式碼管理系統和相關存放庫上的中繼資料。 此資料包括使用者、組織和驗證資訊。
掃描結果,取得建議和詳細資料。
DevOps Security 功能是適用於雲端的 Microsoft Defender 的一部分。 請參閱下列資料落地指導和 EU 資料邊界詳細資料,因為內容與適用於雲端服務的 Microsoft Defender 服務有關。
DevOps Security 目前不會處理或儲存您的程式碼、組建和稽核記錄,但隨著其功能擴充,未來可能會。
深入了解 Microsoft 隱私權聲明。
針對我的 Azure DevOps 連接器,為何工作項目、組建、程式碼、服務掛勾和進階安全性需要寫入權限?
某些 DevOps Security 功能需要這些權限才能運作,例如提取要求註釋。
建議豁免功能是否可供使用,並且針對應用程式安全性弱點管理加以追蹤?
目前,適用於雲端的 Microsoft Defender 不提供 DevOps Security 建議的豁免。
為什麼我無法在適用於雲端的 Microsoft Defender 看到適用於 Azure DevOps 的 GitHub Advanced Security (GHAzDO) 結果?
確認您的連接器已獲得適當授權。
請確定您針對 GHAzDO 和適用於雲端的 Defender 使用相同的訂用帳戶識別碼。 如果您仍然看不到結果,問題可能是 ADO 連接器缺少必要範圍所造成。 DevOps Security 在 6 月引進了 Azure DevOps 連接器的新範圍。 如果您在 6 月之前建立連接器,也尚未更新,您就無法看到 GHAzDO 結果,因為連接器缺少範圍。 您必須建立新的 ADO 連接器,它會自動包含新範圍。
請確定適用於 DevOps 的 Microsoft Defender 的使用者權限已將 Advanced Security: view alerts 和 Read 設定為 Allow。 如果 [繼承] 切換已關閉,這些權限可能會變更。 如果必要權限設定為 Not set 或 Deny,則必須手動更新為 Allow,否則 GHAzDO 結果不會出現在適用於雲端的 Defender 建議中。
是否有連續自動的掃描可供使用?
目前,掃描會在組建階段進行。
為什麼我無法設定提取要求註釋?
請確定您有訂用帳戶的寫入權限 (擁有者/參與者)。 如果您目前沒有這種型別的存取權,可以透過在 PIM 啟用 Microsoft Entra 角色取得。
DevOps Security 功能支援哪些程式設計語言?
我可以將連接器移轉至不同的區域嗎?
例如,我可以將連接器從美國中部區域移轉至西歐區域嗎?
我們目前不支援將 DevOps Security 連接器從一個區域自動移轉至另一個區域。
如果您想將 DevOps 連接器的位置移至不同的區域,建議刪除現有的連接器,然後在新區域重新建立連接器。
適用於雲端的 Defender 所進行的 API 呼叫是否會計入我的使用量限制?
是。由適用於雲端的 Defender 進行的 API 呼叫會計入 Azure DevOps 全域使用量限制。 適用於雲端的 Defender 會代表將連接器上線的使用者進行呼叫。
為何我 UI 中的組織清單是空白的?
如果您在將 Azure DevOps 連接器上線之後,您 UI 中的組織清單是空白的,您必須確定 Azure DevOps 中的組織已連線到具有驗證連接器之使用者的 Azure 租用戶。
如需如何修正此問題的資訊,請參閱 DevOps 疑難排解指南。
我有一個具有許多存放庫的大型 Azure DevOps 組織。 我仍然可以上線嗎?
可以,您可以針對 DevOps Security 功能上線的 Azure DevOps 存放庫沒有數量限制。
不過,上線大型組織時有速度和節流這兩個主要影響。 DevOps 存放庫的探索速度,取決於每個連接器的專案數目 (大約每小時 100 個專案)。 節流可能發生,因為 Azure DevOps API 呼叫有全域速率限制,而且我們會限制專案探索的呼叫使用一小部分的整體配額限制。
請考慮使用替代的 Azure DevOps 身分識別 (也就是作為服務帳戶的組織系統管理員帳戶),以免在上線大型組織時將個別帳戶節流。 以下是使用替代身分識別將 DevOps Security 連接器上線的一些案例:
- 大量 Azure DevOps 組織和專案 (~500 個專案或更多專案)。
- 大量同時組建在上班時間達到尖峰。
- 獲授權的使用者是進行額外 Azure DevOps API 呼叫之 Microsoft Power Platform 使用者,而且用盡全域速率限制配額。
一旦您使用此帳戶將 Azure DevOps 存放庫上線,而且設定並執行 CI/CD 管道的 Microsoft Security DevOps Azure DevOps 延伸模組,掃描結果就會立即出現在適用於雲端的 Microsoft Defender。