Configurare l'azione GitHub di Microsoft Security DevOps
Microsoft Security DevOps è un'applicazione da riga di comando che integra gli strumenti di analisi statica nel ciclo di vita di sviluppo. Security DevOps installa, configura ed esegue le versioni più recenti degli strumenti di analisi statica, ad esempio, Security Development Lifecycle (SDL), strumenti di sicurezza e conformità. Security DevOps è basato su dati con configurazioni portabili che consentono l'esecuzione deterministica in più ambienti.
| Nome | Lingua | Licenza |
|---|---|---|
| AntiMalware | Protezione AntiMalware in Windows di Microsoft Defender per endpoint che esegue un'analisi per rilevare il software dannoso e interrompe la compilazione se lo trova. Questo strumento analizza per impostazione predefinita l'agente windows-latest. | Non open source |
| Bandito | Python | Licenza Apache 2.0 |
| BinSkim | Binary--Windows, ELF | Licenza MIT |
| ESlint | JavaScript | Licenza MIT |
| Analizzatore di modelli | Modello di ARM, Bicep | Licenza MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Licenza Apache 2.0 |
| Trivy | immagini del contenitore, Infrastruttura come codice (IaC) | Licenza Apache 2.0 |
Prerequisiti
- Una sottoscrizione di Azure Se non si dispone di una sottoscrizione di Azure, prima di iniziare creare un account gratuito.
- Connettere i repository GitHub.
- Seguire il materiale sussidiario per configurare GitHub Advanced Security in modo da visualizzare le valutazioni del comportamento di DevOps in Defender per il cloud.
- Aprire l'azione GitHub di Microsoft Security DevOps in una nuova finestra.
- Accertarsi che le autorizzazioni del flusso di lavoro siano impostate su Lettura e Scrittura nel repository GitHub. Ciò include l'impostazione delle autorizzazioni "id-token: scrittura" nel flusso di lavoro GitHub per la federazione con Defender per il cloud.
Configurare l'azione GitHub di Microsoft Security DevOps
Per configurare l’azione GitHub:
Accedi a GitHub.
Selezionare un repository in cui si vuole configurare l'azione GitHub.
Seleziona Azioni.
Selezionare Nuovo flusso di lavoro.
Nella pagina Attività iniziali con GitHub Actions, selezionare Configura un flusso di lavoro manualmente.
Nella casella di testo, immettere un nome per il file del flusso di lavoro. Ad esempio:
msdevopssec.yml.
Copiare e incollare il flusso di lavoro dell'azione di esempio seguente nella scheda Modifica nuovo file.
Selezionare Start commit (Avvia commit).
Selezionare Esegui il commit del nuovo file.
Selezionare Azioni e verificare che la nuova azione sia in esecuzione.
Visualizza i risultati dell'analisi
Per visualizzare i risultati dell'analisi:
- Accedi a GitHub.
- Passare allo strumento>Avvisi di analisi del codice di sicurezza.>sicurezza.
- Dal menu a discesa, selezionare Filtra per strumento.
I risultati dell'analisi del codice saranno filtrati in base a specifici strumenti MSDO in GitHub. I risultati dell'analisi del codice vengono inseriti anche nelle raccomandazioni di Defender per il cloud.