Configurar a ação do GitHub do Microsoft Security DevOps
O Microsoft Security DevOps é um aplicativo de linha de comando que integra ferramentas de análise estática ao ciclo de vida de desenvolvimento. O DevOps de Segurança instala, configura e executa as versões mais recentes de ferramentas de análise estática, como o Ciclo de Vida de Desenvolvimento de Segurança (SDL) e ferramentas de segurança e conformidade. O Security DevOps é orientado a dados com configurações portáteis que permitem a execução determinística em vários ambientes.
| Nome | Idioma | Licença |
|---|---|---|
| AntiMalware | Proteção AntiMalware no Windows a partir do Microsoft Defender para Ponto de Extremidade que examina por malware e interrompe a compilação se o malware for encontrado. Esta ferramenta faz a varredura por padrão no agente mais recente do Windows. | Sem código aberto |
| Bandit | Python | Licença do Apache 2.0 |
| BinSkim | Binário--Windows, ELF | Licença MIT |
| ESlint | JavaScript | Licença MIT |
| Analisador de Modelos | Modelo do ARM, Bicep | Licença MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Licença do Apache 2.0 |
| Trivy | imagens de contêiner, IaC (infraestrutura como código) | Licença do Apache 2.0 |
Pré-requisitos
- Uma assinatura do Azure. Caso não tenha uma assinatura do Azure, crie uma conta gratuita antes de começar.
- Conecte seus repositórios do GitHub.
- Siga as diretrizes para configurar o GitHub Advanced Security para exibir as avaliações de postura do DevOps no Defender para Nuvem.
- Abra a ação do GitHub do Microsoft Security DevOps em uma nova janela.
- Cerifique-se de que as Permissões de fluxo de trabalho estão definidas como Leitura e Gravação no repositório GitHub. Isso inclui a configuração de permissões "id-token: write" no fluxo de trabalho do GitHub para federação com o Defender for Cloud.
Configurar a ação do GitHub do Microsoft Security DevOps
Para configurar a ação do GitHub:
Entre no GitHub.
Selecione um repositório para o qual deseja configurar a ação do GitHub.
Selecione Ações.
Selecione Novo fluxo de trabalho.
Na página Introdução ao GitHub Actions, selecione configurar um fluxo de trabalho por conta própria.
Na caixa de texto, digite um nome para seu arquivo de fluxo de trabalho. Por exemplo,
msdevopssec.yml.
Copie e cole o exemplo de fluxo de trabalho de ação a seguir na guia Editar novo arquivo.
Selecione Confirmar início.
Selecione Confirmar novo arquivo.
Selecione Ações e verifique se a nova ação está em execução.
Exibir resultados da verificação
Para ver os resultados da verificação:
- Entre no GitHub.
- Navegue até Segurança>Alertas de verificação de código>Ferramenta.
- No menu suspenso, selecione Filtrar por ferramenta.
As descobertas da verificação de código serão filtradas por ferramentas específicas do MSDO no GitHub. Esses resultados de verificação de código também são enviados para as recomendações do Defender para Nuvem.