将 GitHub Advanced Security 与 Microsoft Defender for Cloud 集成
Microsoft Defender for Cloud 是一个综合性的安全解决方案,可帮助组织保护其基于云和本地的工作负载、应用程序和基础结构。 其组件之一是 Microsoft Defender for DevOps,这是一个基于云的安全解决方案,可对 GitHub 和 Azure DevOps 中托管的代码、生成和发布进行持续监视和分析,以识别和防范安全漏洞和威胁。 Microsoft Defender for DevOps 与 GitHub Advanced Security 集成,利用两种服务的优势提供统一的体验,帮助 DevOps 团队改善安全状况并降低安全漏洞和数据丢失的风险。
Defender for DevOps 提供了集中式界面,可聚合来自多个源的数据,包括 GitHub Advanced Security。 此外,它还提供 Microsoft Security DevOps 命令行实用工具,有助于将静态分析工具整合到 GitHub Actions 中。 分析结果自动显示在 Defender for DevOps 门户中。
将 Microsoft Defender for Cloud 与 GitHub Advanced Security 集成
若要实现 Microsoft Defender for Cloud 与 GitHub Advanced Security 之间的集成,请将你的 GitHub 组织加入 Defender for DevOps。 这会启用对两组功能的支持:
- 基础云安全态势管理 (CSPM),通过详细的安全建议帮助评估 GitHub 安全态势。
- Defender CSPM,通过提供风险评估和对 GitHub 环境中最严重可利用弱点的见解来增强基础 CSPM 功能。
若要连接你的 GitHub 组织,请在 Azure 门户中导航到“Microsoft Defender for Cloud”页面的“环境设置”部分。 选择“添加环境”,然后选择“GitHub”。 输入要分配给连接的任意名称并指定配置设置,包括存储连接的订阅、资源组和区域。 此外,选择用于连接的 Defender CSPM 计划。 出现提示时,授权你的 Azure 订阅访问你的 GitHub 组织。 授权后,安装 GitHub 应用程序,并选择 Defender for DevOps 应有权访问的存储库。 创建后,GitHub 连接器将显示在“环境设置”页面上,Defender for Cloud 将自动发现目标 GitHub 组织中的存储库。
因此,Defender for DevOps 窗格将显示按组织分组的已加入存储库。 “建议”窗格将显示与相应 GitHub 存储库相关的所有安全评估。
将 Microsoft Security DevOps 集成到 GitHub Actions
Microsoft Security DevOps 是一个命令行应用程序,用于安装、配置和运行最新版本的开源静态分析、安全性与合规性工具,包括 Bandit、BinSkim、ESlint、Terrascan 和 Trivy。 通过从 GitHub Actions 工作流调用 Microsoft Security DevOps(使用 microsoft/security-devops-action@latest 操作),可以使用其任何工具生成的输出来控制工作流执行路径。
此外,操作完成后,其结果将自动显示在 GitHub 存储库的安全选项卡上。 可以通过参考单个工具来筛选安全结果。 此外,结果还会显示在 Azure 门户中的 Microsoft Defender for Cloud 控制台中,包括 DevOps 安全漏洞、DevOps 安全结果和 DevOps 覆盖率。