GitHub Advanced Security (GHAS) 與 Microsoft Defender for Cloud 的整合,將您的原始碼庫與雲端工作負載連結,提供整個開發生命週期中的統一安全可視性。 此整合能自動將程式碼變更映射至生產環境,根據真實執行時情境優先排序安全警示,並促進開發與安全團隊間協調的修復工作流程。
使用此整合來:
- 追蹤從原始碼到已部署應用程式的漏洞
- 聚焦於影響生產工作負載的安全議題
- 協調 GitHub 倉庫與 Azure 環境之間的修正
- 善用 AI 驅動的修復工具,加速解決
本概述說明整合的運作方式,並幫助您在部署前了解其核心功能。
主要功能
智慧程式碼到雲端映射
當你將 GitHub 組織或倉庫連接到 Microsoft Defender for Cloud(MDC) 時,系統會自動將原始碼倉庫對應到正在運行的雲端工作負載。 它使用 MDC 專有的「Code 2 Cloud」方法,確保每個工作負載都能追蹤到其來源倉庫,反之亦然。
這項功能讓您能即時掌握端對端的可見性,讓您知道每個部署應用程式的程式碼驅動,無需花費大量時間手動映射。
生產狀況敏感的警報優先排序
突破嘈雜的安全警示,專注於真正重要的漏洞。
GitHub 上的 GHAS 安全發現會根據 MDC 的真實執行環境進行優先排序,強調風險因素如 網路暴露、 敏感資料 處理、 關鍵資源及 橫向移動。 這些風險會在執行時工作負載中被識別,並動態連結到這些工作負載的原始程式碼庫及 GitHub 中的特定建置產物。 你可以過濾、分流,並只針對有實際生產影響的安全議題採取行動,幫助團隊保持效率並維護最重要的應用程式安全。
統一的 AI 驅動補救措施
透過整合的工作流程與相關脈絡,彌合安全與工程團隊之間的鴻溝。
在 MDC 中,安全經理可以透過選擇「 在 GitHub 查看」 連結,查看工程團隊已知的安全問題及其狀態。
他們可以透過產生 GitHub 議題指派,指派相關工程團隊安全建議以解決。
該指派會在原點儲存庫產生,提供執行時資訊與上下文,方便工程修復。
工程經理可將問題指派給開發者進行進一步解決,受指派者則可利用 Copilot Coding Agent 進行 AI 驅動的自動修正。
GitHub 的問題修正、進度與活動進展會即時追蹤,狀態也會反映在 GitHub 與 MDC 中。
這種方式確保修復能迅速完成,建立明確的責任感,並簡化協作,這一切都發生在你團隊已使用的工具中。
先決條件
| 層面 | 詳細資訊 |
|---|---|
| 環境要求 | - 在 Microsoft Defender for Cloud (MDC)中已建立連接器的 GitHub 帳號 - GitHub 進階安全(GHAS)授權 - 在訂閱中啟用 Defender CSPM - GitHub Security Copilot(自動修復可選) |
| 角色與權限 | - 安全管理員權限 - Azure 訂閱上的 Security Reader(可在 MDC 中查看發現) - GitHub 組織擁有者 |
| 雲端環境 | - 僅在商業雲端提供(不適用於美國政府、中國政府或其他主權雲端) |
備註
GHAS 與 MDC 原生整合僅支援 Containers 工作負載,僅限於目前版本的預覽版。
後續步驟
- 了解 Defender for Cloud 中的 DevOps 安全: Microsoft Defender for Cloud DevOps 安全性概述
- 學習如何設定 GHAS 與 MDC 原生整合: 部署 GitHub 進階安全整合
- 連結你的 GitHub 組織