GitHub 進階安全(GHAS)與 適用於雲端的 Microsoft Defender 的整合,將你的原始碼與正在運行的雲端工作負載連結起來,反之亦然——因此資安團隊能優先處理實際進入生產環境的漏洞,工程團隊也能在不離開 GitHub 的情況下修復它們。
使用此整合來:
追蹤執行時漏洞至原始儲存庫與程式碼擁有者。
根據程式碼部署、生產環境暴露及執行時風險優先排序修正。
協調 GitHub 程式碼庫與雲端環境間的修復,並具備共享的上下文與狀態。
使用 AI 驅動 (Copilot) 補救加速修正。
本概述說明整合的運作方式,並幫助您在部署前了解其核心功能。
可用性與前提條件
入職前請確認以下事項:
| Category | 詳細資料 |
|---|---|
| 環境要求 | - 已在 適用於雲端的 Defender 中建立連接器的 GitHub 帳戶 - GHAS 授權 - 訂閱時啟用 Defender 雲端安全態勢管理(DCSPM) - Microsoft Security Copilot(可選用於自動修復) |
| 角色和權限 | - 安全管理員權限 - Azure 訂閱上的安全管理員,才能在 適用於雲端的 Defender 中查看發現的內容 - GitHub 組織擁有者 |
| 雲端環境 | - 僅於商業雲端提供(不包括 Azure Government、21Vianet 運營的 Azure 或其他主權雲端) |
角色與痛點
主要水流
主要功能
自動程式碼到執行時的映射
當你透過 GitHub connector 將GitHub組織或儲存庫連接到 適用於雲端的 Microsoft Defender 時,系統會自動將原始碼儲存庫映射到正在運行的雲端工作負載。 它使用 適用於雲端的 Defender 專有的程式碼轉執行時方法,確保每個工作負載都能追蹤到其來源儲存庫(反之亦然)。
這項功能讓你能即時掌握端到端的可視性,讓你知道哪些程式碼驅動每個部署的應用程式,哪些執行中的容器化工作負載對應到哪個原始碼倉庫,無需花費大量時間手動映射。
生產狀況敏感的警報優先排序
突破嘈雜的安全警示,專注於真正重要的漏洞。
GitHub 中的 GHAS 安全發現會依據 適用於雲端的 Defender 的真實執行環境進行優先排序。 他們強調 執行時的風險因素 ,如 網路暴露、 敏感資料、 關鍵資源及 橫向移動。 以下風險因子來自 Defender CSPM 的攻擊路徑分析:
- 網路暴露 ——可從公共網際網路存取的工作負載
- 敏感資料 ——工作負載處理受管制或機密資料
- 關鍵資源 - 被標記或分類為業務關鍵的工作負載
- 橫向移動 —— 工作負載位於攻擊者可能進行橫向滲透的路徑上
這些風險會在執行時工作負載中被識別,並動態連結到這些工作負載的原始程式碼庫以及 GitHub 中的特定建置產物。
你可以在 適用於雲端的 Defender 和 GitHub 中過濾、篩選並處理那些實際影響生產的安全問題。 這項能力幫助團隊保持效率,並保護最重要的應用程式安全。
實務做法
從 contoso/payments-api 儲存庫建立的容器映像會部署到 AKS。 適用於雲端的 Defender 偵測網路暴露,並對工作負載進行敏感資料處理。 映像內的 CVE 會在 GitHub 的安全性索引標籤中自動提升為重大,並將一鍵 GitHub 問題指派給存放庫的 CODEOWNERS,且附加完整的執行階段和 SDLC 內容。
統一的 AI 驅動補救措施
透過整合的工作流程與相關脈絡,彌合安全與工程團隊之間的鴻溝。
在 適用於雲端的 Defender 中,資安經理可以看到工程團隊已知哪些安全問題,以及這些問題的狀態。 資安管理者可選擇「在 GitHub 上檢視」連結開啟此檢視。
資安經理可以透過在 GitHub 產生議題的方式,將安全建議指派給相關工程團隊以解決。
該指派是在原點儲存庫上產生的。 它提供執行時資訊與上下文,方便工程修正。
工程經理可以將問題指派給開發者進行進一步解決。 受派人可以使用 Copilot 編碼代理程式,進行 AI 驅動的自動修正。
AppSec 團隊可將執行時風險因子納入 GHAS 發現,將工程工作重點放在真正部署與執行的程式碼相關發現。
這些篩選器可用來直接篩選 GHAS 警示,或透過活動用於持續排程的優先順序排序。
GitHub 的問題修正、進度與活動進展皆可即時追蹤。 這些狀態同時反映在 GitHub 和 適用於雲端的 Defender。
此方法確保修復能迅速交付,建立明確的問責機制,並簡化協作流程。 所有這些好處都發生在你團隊已經使用的工具裡。