整合 GitHub Advanced Security 與適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 是一個全方位安全性解決方案,可協助組織保護其雲端式和內部部署工作負載、應用程式和基礎結構。 其中一個元件是適用於 DevOps 的 Microsoft Defender,這是一種雲端式安全性解決方案,可持續監視和分析 GitHub 和 Azure DevOps 中裝載的程式碼、組建和發行版本,以識別並防範安全性弱點和威脅。 適用於 DevOps 的 Microsoft Defender 與 GitHub Advanced Security 整合,利用這兩項服務的優勢來提供統一的體驗,協助 DevOps 小組改善其安全性態勢,並降低安全性缺口和資料遺失的風險。
適用於 DevOps 的 Defender 提供集中式介面,可彙總來自多個來源的資料,包括 GitHub Advanced Security。 此外,也提供 Microsoft 安全性 DevOps 命令列公用程式,可協助將靜態分析工具併入 GitHub Actions。 分析結果會自動顯示在適用於 DevOps 的 Defender 入口網站中。
整合適用於雲端的 Microsoft Defender 與 GitHub Advanced Security
若要實作適用於雲端的 Microsoft Defender 與 GitHub Advanced Security 之間的整合,請將 GitHub 組織上線至適用於 DevOps 的 Defender。 這可支援兩組功能:
- 基礎雲端安全性態勢管理 (CSPM),可透過詳細的安全性建議,協助評量 GitHub 安全性態勢。
- Defender CSPM 透過提供風險評量和 GitHub 環境中最重要可利用弱點的深入解析,藉此增強基礎 CSPM 功能。
若要連線 GitHub 組織,請在 Azure 入口網站中,瀏覽至適用於雲端的 Microsoft Defender 頁面的 [環境設定] 區段。 選取 [新增環境],然後選取 [GitHub]。 輸入要指派給連線的任意名稱,並指定組態設定,包括將會儲存連線的訂用帳戶、資源群組和區域。 此外,選取連線的 Defender CSPM 方案。 出現提示時,請授權您的 Azure 訂用帳戶存取 GitHub 組織。 在授權之後,安裝 GitHub 應用程式,然後選取適用於 DevOps 的 Defender 應該具有存取權的存放庫。 建立之後,GitHub 連接器會出現在 [環境設定] 頁面上,而適用於雲端的 Defender 會自動探索目標 GitHub 組織中的存放庫。
因此,[適用於 DevOps 的 Defender] 窗格會顯示依組織分組的上線存放庫。 [建議] 窗格會顯示與對應 GitHub 存放庫相關的所有安全性評量。
將 Microsoft 安全性 DevOps 整合至 GitHub Actions
Microsoft 安全性 DevOps 是命令列應用程式,可安裝、設定和執行最新版本的開放原始碼靜態分析、安全性和合規性工具,包括 Bandit、BinSkim、ESlint、Terrascan 和 Trivy。 藉由從 GitHub Actions 工作流程叫用 Microsoft 安全性 DevOps (使用 microsoft/security-devops-action@latest 動作),您可以使用由其任何工具產生的輸出來控制工作流程執行路徑。
此外,在動作完成之後,其結果會自動顯示在 GitHub 存放庫的安全性索引標籤上。 您可以藉由參考個別工具來篩選安全性結果。 此外,結果也會出現在 Azure 入口網站的適用於雲端的 Microsoft Defender 主控台中,包括 DevOps 安全性弱點、DevOps 安全性結果和 DevOps 涵蓋範圍。