Configurar a ação do GitHub do Microsoft Security DevOps

O Microsoft Security DevOps é um aplicativo de linha de comando que integra ferramentas de análise estática no ciclo de vida do desenvolvimento. O Security DevOps instala, configura e executa as versões mais recentes de ferramentas de análise estática, como SDL, ferramentas de segurança e conformidade. O Security DevOps é orientado por dados com configurações portáteis que permitem a execução determinística em vários ambientes.

O Microsoft Security DevOps usa as seguintes ferramentas de código aberto:

Nome	Idioma	Licença
AntiMalware	Proteção antimalware no Windows do Microsoft Defender for Endpoint, que verifica a existência de malware e quebra a compilação se o malware tiver sido encontrado. Esta ferramenta verifica por padrão no agente mais recente do Windows.	Não Open Source
Bandido	Python	Apache Licença 2.0
BinSkim	Binário--Windows, ELF	Licença MIT
Checkov	Terraform, Terraform plan, CloudFormation, AWS SAM, Kubernetes, Helm charts, Kustomize, Dockerfile, Serverless, Bicep, OpenAPI, ARM	Apache Licença 2.0
ESlint	JavaScript	Licença MIT
Analisador de modelos	Modelo ARM, bíceps	Licença MIT
Terrascan	Terraform (HCL2), Kubernetes (JSON / YAML), Leme v3, Kustomize, Dockerfiles, CloudFormation	Apache Licença 2.0
Trivy	imagens de contêiner, Infraestrutura como código (IaC)	Apache Licença 2.0

Pré-requisitos

• Uma assinatura do Azure Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

• Conecte seus repositórios do GitHub.

• Abra a ação Microsoft Security DevOps GitHub em uma nova janela.

• Verifique se as permissões de fluxo de trabalho estão definidas como Leitura e gravação no repositório GitHub. Isso inclui a configuração de permissões "id-token: write" no Fluxo de Trabalho do GitHub para federação com o Defender for Cloud.

Configurar a ação do GitHub do Microsoft Security DevOps

Para configurar a ação do GitHub:

1. Iniciar sessão no GitHub.

2. Selecione um repositório para o qual você deseja configurar a ação do GitHub.

3. Selecione Ações.

   

4. Selecione Novo fluxo de trabalho.

5. Na página Introdução às Ações do GitHub, selecione configurar um fluxo de trabalho você mesmo

   

6. Na caixa de texto, insira um nome para o arquivo de fluxo de trabalho. Por exemplo, msdevopssec.yml.

   

7. Copie e cole o fluxo de trabalho de ação de exemplo a seguir na guia Editar novo arquivo.

   name: MSDO
   on:
     push:
       branches:
         - main
   
   jobs:
     sample:
       name: Microsoft Security DevOps
   
       # Windows and Linux agents are supported
       runs-on: windows-latest
   
       permissions:
         contents: read
         id-token: write
         actions: read
         # Write access for security-events is only required for customers looking for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS)
         security-events: write
   
       steps:
   
         # Checkout your code repository to scan
       - uses: actions/checkout@v3
   
         # Run analyzers
       - name: Run Microsoft Security DevOps
         uses: microsoft/security-devops-action@latest
         id: msdo
       # with:
         # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig').
         # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub.
         # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all.
         # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all.
         # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'.
   
         # Upload alerts to the Security tab - required for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS)
       # - name: Upload alerts to Security tab
       #  uses: github/codeql-action/upload-sarif@v3
       #  with:
       #    sarif_file: ${{ steps.msdo.outputs.sarifFile }}
   
         # Upload alerts file as a workflow artifact - required for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS)
       # - name: Upload alerts file as a workflow artifact
       #  uses: actions/upload-artifact@v3
       #  with:  
       #    name: alerts
       #    path: ${{ steps.msdo.outputs.sarifFile }}
   

   Nota

   Para obter instruções e opções adicionais de configuração de ferramentas, consulte o wiki Microsoft Security DevOps

8. Selecione Iniciar confirmação

   

9. Selecione Confirmar novo arquivo. Observe que o processo pode levar até um minuto para ser concluído.

   

10. Selecione Ações e verifique se a nova ação está em execução.

    

Ver Resultados da Análise

Para ver os resultados da análise:

1. Inicie sessão no Azure.

2. Navegue até Defender for Cloud > DevOps Security.

3. Na folha de segurança DevOps, você deve começar a ver os mesmos resultados de segurança do MSDO que os desenvolvedores veem em seus logs de CI em poucos minutos para o repositório associado. Os clientes com o GitHub Advanced Security também verão as descobertas ingeridas dessas ferramentas.

Mais informações

• Saiba mais sobre as ações do GitHub para o Azure.

• Saiba como implantar aplicativos do GitHub no Azure.

Próximos passos

Saiba mais sobre a segurança de DevOps no Defender for Cloud.

Saiba como conectar suas organizações do GitHub ao Defender for Cloud.