获取有关 Microsoft DevOps 安全的常见问题的解答。
为什么我在尝试连接时收到错误?
选择“授权”按钮时,将使用登录时所用的帐户。 该帐户可以有相同的电子邮件,但可能具有不同的租户。 请确保在弹出的许可屏幕和 Visual Studio 中选择了正确的帐户/租户组合。
可以检查已登录的帐户。
为何我找不到自己的 Azure DevOps 存储库?
Defender for Cloud DevOps 安全加入仅支持存储库类型 TfsGit
。 目前不支持存储库类型 TFSVC
。
确保已将存储库加入 Microsoft Defender for Cloud。 如果仍然看不到你的存储库,请确保使用正确的 Azure DevOps 组织用户帐户登录。 Azure 订阅和 Azure DevOps 组织需要位于同一租户中。 如果连接器的用户错误,则你需要删除之前创建的连接器,使用正确的用户帐户登录,然后重新创建连接器。
为何在我选择放入的路径中看不到生成的 SARIF 文件?
如果未在预期路径中看到 SARIF 文件,可能是由于选择了与 CodeAnalysisLogs/msdo.sarif
路径不同的放置路径。 目前应将 SARIF 文件放入 CodeAnalysisLogs/msdo.sarif
。
为何在 Microsoft Defender for Cloud 中看不到我的 Azure DevOps Projects 的结果?
使用经典的管道配置时,请确保不更改项目名称。 这可能导致看不到项目的结果。 可以详细了解如何查看检测结果。
我已成功加入 DevOps 连接器,可在何处找到相关建议?
建议导航到“DevOps 安全”窗格来查看 DevOps 安全态势的概述。 可以按照你要处理的 DevOps 资源进行排序和筛选,以查看建议详细信息。
还可以使用 DevOps 工作簿并根据需要对其进行自定义。
DevOps 安全产品存储哪些有关我和我的企业的信息,这些数据在何处进行存储和处理?
DevOps 安全功能连接到源代码管理系统(例如 Azure DevOps、GitHub 和/或 GitLab),以便为 DevOps 资源和安全态势提供一个中心控制台。 DevOps 安全功能处理并存储以下信息:
有关连接的源代码管理系统和关联存储库的元数据。 这些数据包括用户、组织和身份验证信息。
用于提供建议和详细信息的扫描结果。
DevOps 安全功能是 Microsoft Defender for Cloud 的一部分。 请参阅以下数据驻留指南和欧盟数据边界详细信息,因为它与 Microsoft Defender for Cloud 服务相关。
DevOps 安全目前不会处理或存储代码、生成和审核日志,但将来可能会扩展其功能。
详细了解 Microsoft 隐私声明。
对于 Azure DevOps 连接器,为何工作项、生成、代码、服务挂钩和高级安全需要写入权限?
某些 DevOps 安全功能(如拉取请求注释)需要这些权限才能正常工作。
建议豁免功能是否可用,并针对应用程序安全漏洞管理跟踪豁免?
目前,豁免不适用于 Microsoft Defender for Cloud 中的 DevOps 安全建议。
为什么我无法在 Defender for Cloud 中看到 GitHub Advanced Security for Azure DevOps (GHAzDO) 结果?
确认连接器是否已获得适当授权。
确保对 GHAzDO 和 Defender for Cloud 使用相同的订阅 ID。 如果仍然无法看到结果,则问题可能是由于 ADO 连接器缺少必要的范围导致的。 在 6 月份,DevOps 安全为 Azure DevOps 连接器引入了新的范围。 如果在 6 月之前创建了连接器,且尚未更新它,则由于连接器上缺少相应作用域,你将无法看到 GHAzDO 结果。 需要创建新的 ADO 连接器,该连接器将自动添加新的作用域。
确保 Microsoft Defender for DevOps 的用户权限已将 Advanced Security: view alerts
和 Read
设置为 Allow
。 如果关闭了“继承”开关,这些权限可能会发生变化。 如果必要的权限设置为 Not set
或 Deny
,则需要手动将其更新为 Allow
,否则 GHAzDO 结果不会显示在 Defender for Cloud 建议中。
是否可使用连续自动扫描?
当前在生成时进行扫描。
为什么我无法配置拉取请求注释?
确保拥有对订阅的写入(所有者/参与者)访问权限。 如果目前没有这种类型的访问权限,可以通过在 PIM 中激活 Microsoft Entra 角色来获取访问权限。
DevOps 安全功能支持哪些编程语言?
是否可以将连接器迁移到其他区域?
例如,是否可以将连接器从美国中部区域迁移到欧洲西部区域?
目前不支持将 DevOps 安全连接器从一个区域自动迁移到另一个区域。
如果你要将 DevOps 连接器从其所在位置移动到其他区域,建议删除现有连接器,然后在新区域中重新创建连接器。
Defender for Cloud 进行的 API 调用是否计入我的使用限制?
是,Defender for Cloud 进行的 API 调用计入 Azure DevOps 全局使用限制。 Defender for Cloud 代表加入连接器的用户进行调用。
为什么 UI 中我的组织列表为空?
如果在加入 Azure DevOps 连接器后 UI 中的组织列表为空,则需要确保 Azure DevOps 中的组织已连接到具有对连接器进行身份验证的用户的 Azure 租户。
有关如何更正此问题的信息,请查看 DevOps 故障排除指南。
我有一个大型的 Azure DevOps 组织,其中包含许多存储库。 我是否还可以加入?
可以,可为 DevOps 安全功能加入的 Azure DevOps 存储库数量没有限制。
但在加入大型组织时,存在两个主要影响:速度和限制。 DevOps 存储库的发现速度取决于每个连接器的项目数(每小时大约 100 个项目)。 之所以发生限制,是因为 Azure DevOps API 调用具有全局速率限制,并且我们将项目发现的调用限制为使用总体配额限制的一小部分。
请考虑使用备用 Azure DevOps 标识(即用作服务帐户的组织管理员帐户),以避免在加入大型组织时限制单独的帐户。 下面列出了什么时候使用备用标识加入 DevOps 安全连接器的一些情况:
- Azure DevOps 组织和项目数量巨大(大约 500 个或更多项目)。
- 大量并发生成在工作时间达到峰值。
- 授权用户用完了全局速率限制配额而进行其他 Azure DevOps API 调用的 Power Platform 用户。
使用此帐户加入 Azure DevOps 存储库并在 CI/CD 管道中配置和运行 Microsoft Security DevOps Azure DevOps 扩展后,扫描结果将立即显示在 Microsoft Defender for Cloud 中。