Настройка действия Microsoft Security DevOps GitHub

Завершено

Microsoft Security DevOps — это приложение командной строки, которое интегрирует статические средства анализа в жизненный цикл разработки. Безопасность DevOps устанавливает, настраивает и запускает последние версии статических средств анализа, таких как, жизненный цикл разработки безопасности (SDL), средства безопасности и соответствия требованиям. Безопасность DevOps управляет данными с переносимыми конфигурациями, которые обеспечивают детерминированное выполнение в нескольких средах.

Имя	Язык	Виды
Антивредоносное ПО	Защита от вредоносных программ в Windows от Microsoft Defender для конечной точки, которая проверяет наличие вредоносных программ и прерывает сборку, если вредоносные программы найдены. Это средство проверяется по умолчанию в агенте windows-latest.	Не открытый исходный код
Бандит	Python	Лицензия Apache 2.0
BinSkim	Binary-Windows, ELF	Лицензия MIT
ESlint	JavaScript	Лицензия MIT
Анализатор шаблонов	Шаблон ARM, Bicep	Лицензия MIT
Terrascan;	Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation	Лицензия Apache 2.0
Триви	образы контейнеров, инфраструктура как код (IaC)	Лицензия Apache 2.0

Необходимые компоненты

• Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
• Подключите репозитории GitHub.
• Следуйте указаниям по настройке GitHub Advanced Security для просмотра оценок о позе DevOps в Defender для облака.
• Откройте действие Microsoft Security DevOps GitHub в новом окне.
• Убедитесь, что разрешения рабочего процесса заданы для чтения и записи в репозитории GitHub. Сюда входят разрешения "id-token: write" в рабочем процессе GitHub для федерации с Defender для облака.

Настройка действия Microsoft Security DevOps GitHub

Чтобы настроить действие GitHub, выполните следующее:

1. Войдите в GitHub.

2. Выберите репозиторий, для которого нужно настроить действие GitHub.

3. Выберите Действия.

   

4. Выберите Новый рабочий процесс.

5. На странице "Начало работы с GitHub Actions" выберите рабочий процесс самостоятельно.

   

6. В текстовом поле введите имя файла рабочего процесса. Например, msdevopssec.yml.

   

7. Скопируйте и вставьте следующий пример рабочего процесса действия на вкладку "Изменить новый файл".

8. Выберите Начать фиксацию.

   

9. Выберите Commit new file (Зафиксировать новый файл).

   

10. Выберите действия и убедитесь, что выполняется новое действие.

    

Просмотр результатов сканирования

Чтобы просмотреть результаты сканирования, выполните приведенные далее действия.

1. Войдите в GitHub.
2. Перейдите к средству проверки кода>безопасности.>
3. В раскрывающемся меню выберите " Фильтр по инструменту".

Результаты сканирования кода будут отфильтрованы определенными средствами MSDO в GitHub. Эти результаты сканирования кода также извлекаются в Defender для облака рекомендации.