Konfigurowanie akcji GitHub devOps zabezpieczeń firmy Microsoft
Microsoft Security DevOps to aplikacja wiersza polecenia, która integruje narzędzia do analizy statycznej w cyklu projektowania. Usługa Security DevOps instaluje, konfiguruje i uruchamia najnowsze wersje narzędzi do analizy statycznej, takich jak cykl życia tworzenia zabezpieczeń (SDL), narzędzia do zabezpieczeń i zgodności. Usługa Security DevOps jest oparta na danych z przenośnymi konfiguracjami, które umożliwiają deterministyczne wykonywanie w wielu środowiskach.
| Nazwa/nazwisko | Język | Licencja |
|---|---|---|
| Oprogramowanie chroniące przed złośliwym kodem | Ochrona przed złośliwym kodem w systemie Windows z Ochrona punktu końcowego w usłudze Microsoft Defender, która skanuje pod kątem złośliwego oprogramowania i przerywa kompilację w przypadku znalezienia złośliwego oprogramowania. To narzędzie domyślnie skanuje w przypadku agenta najnowszego systemu Windows. | Nie open source |
| Bandyta | Python | Licencja apache 2.0 |
| BinSkim | Binary--Windows, ELF | Licencja X11 |
| ESlint | JavaScript | Licencja X11 |
| Analizator szablonów | Szablon usługi ARM, Bicep | Licencja X11 |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Licencja apache 2.0 |
| Trywij | obrazy kontenerów, infrastruktura jako kod (IaC) | Licencja apache 2.0 |
Wymagania wstępne
- Subskrypcja platformy Azure Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto .
- Połącz repozytoria GitHub.
- Postępuj zgodnie ze wskazówkami, aby skonfigurować usługę GitHub Advanced Security, aby wyświetlić oceny stanu metodyki DevOps w Defender dla Chmury.
- Otwórz akcję GitHub DevOps zabezpieczeń firmy Microsoft w nowym oknie.
- Upewnij się, że uprawnienia przepływu pracy są ustawione na odczyt i zapis w repozytorium GitHub. Obejmuje to ustawienie uprawnień "id-token: write" w przepływie pracy usługi GitHub na potrzeby federacji z Defender dla Chmury.
Konfigurowanie akcji GitHub devOps zabezpieczeń firmy Microsoft
Aby skonfigurować akcję usługi GitHub:
Zaloguj się do usługi GitHub.
Wybierz repozytorium, do którego chcesz skonfigurować akcję GitHub.
Wybierz Akcje.
Wybierz pozycję Nowy przepływ pracy.
Na stronie Wprowadzenie do funkcji GitHub Actions wybierz pozycję Skonfiguruj przepływ pracy samodzielnie.
W polu tekstowym wprowadź nazwę pliku przepływu pracy. Na przykład
msdevopssec.yml.
Skopiuj i wklej następujący przykładowy przepływ pracy akcji na karcie Edytuj nowy plik.
Wybierz pozycję Start commit (Rozpocznij zatwierdzanie).
Wybierz pozycję Zatwierdź nowy plik.
Wybierz pozycję Akcje i sprawdź, czy nowa akcja jest uruchomiona.
Wyświetlanie wyników skanowania
Aby wyświetlić wyniki skanowania:
- Zaloguj się do usługi GitHub.
- Przejdź do pozycji Narzędzie do skanowania kodu>zabezpieczeń>.
- Z menu rozwijanego wybierz pozycję Filtruj według narzędzia.
Wyniki skanowania kodu będą filtrowane według określonych narzędzi MSDO w usłudze GitHub. Te wyniki skanowania kodu są również pobierane do zaleceń Defender dla Chmury.