Konfigurieren der GitHub-Aktion von Microsoft Security DevOps
Microsoft Security DevOps ist eine Befehlszeilenanwendung, die statische Analysetools in den Entwicklungslebenszyklus integriert. Security DevOps installiert, konfiguriert und führt die neuesten Versionen statischer Analysetools wie Security Development Lifecycle (SDL), Sicherheits- und Compliancetools aus. Security DevOps ist datengesteuert mit portablen Konfigurationen, die eine deterministische Ausführung in mehreren Umgebungen ermöglichen.
| Name | Sprache | Lizenz |
|---|---|---|
| Antischadsoftware | Antischadsoftware in Windows durch Microsoft Defender for Endpoint, die nach Malware scannt und den Build unterbricht, wenn Schadsoftware gefunden wurde. Dieses Tool scannt standardmäßig den windows-latest-Agent. | Nicht Open Source |
| Bandit | Python | Apache License 2.0 |
| BinSkim | Binary--Windows, ELF | MIT-Lizenz |
| ESlint | JavaScript | MIT-Lizenz |
| Template Analyzer | ARM-Vorlage, Bicep | MIT-Lizenz |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Apache License 2.0 |
| Trivy | Containerimages, Infrastructure-as-Code (IaC) | Apache License 2.0 |
Voraussetzungen
- Azure-Abonnement: Sollten Sie über kein Azure-Abonnement verfügen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
- Stellen Sie eine Verbindung zu Ihren GitHub-Repositorys her.
- Verwenden Sie den Leitfaden zum Einrichten von GitHub Advanced Security, um DevOps-Statusbewertungen in Defender for Cloud anzuzeigen.
- Öffnen Sie die Microsoft Security DevOps GitHub-Aktion in einem neuen Fenster.
- Stellen Sie sicher, dass im GitHub-Repository die Workflowberechtigungen auf Lesen und Schreiben festgelegt sind. Dies umfasst das Festlegen von „id-token: write“-Berechtigungen im GitHub-Workflow für den Partnerverbund mit Defender für Cloud.
Konfigurieren der GitHub-Aktion von Microsoft Security DevOps
So richten Sie die GitHub-Aktion ein:
Melden Sie sich bei GitHub an.
Wählen Sie ein Repository aus, für das Sie die GitHub-Aktion konfigurieren möchten.
Wählen Sie Actions aus.
Klicken Sie auf New workflow (Neuer Workflow).
Wählen Sie auf der Seite „Erste Schritte mit GitHub Actions“ die Option Workflow selbst einrichten aus.
Geben Sie im Textfeld Titel einen Namen für die Workflowdatei ein. Beispiel:
msdevopssec.yml.
Kopieren Sie den folgenden Beispielaktionsworkflow und fügen Sie ihn in die Registerkarte „Edit new file“ (Neue Datei bearbeiten) ein.
Klicken Sie auf Start commit (Commit starten).
Wählen Sie Commit new file (Neue Datei committen) aus.
Wählen Sie Actions (Aktionen) aus, und überprüfen Sie, ob die neue Aktion ausgeführt wird.
Anzeigen der Überprüfungsergebnisse
So zeigen Sie die Überprüfungsergebnisse an:
- Melden Sie sich bei GitHub an.
- Navigieren Sie zu Security>Code scanning alerts>Tool (Sicherheit > Codeüberprüfungsbenachrichtigungen > Tool).
- Wählen Sie im Dropdownmenü Filter by tool (Nach Tool filtern) aus.
Die Codeüberprüfungsergebnisse werden nach bestimmten MSDO-Tools in GitHub gefiltert. Diese Codeüberprüfungsergebnisse werden auch in Defender for Cloud-Empfehlungen gepullt.