Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Security DevOps ist eine Befehlszeilenanwendung, die statische Analysetools in den Entwicklungslebenszyklus integriert. Security DevOps installiert, konfiguriert und führt die neuesten Versionen statischer Analysetools wie SDL, Sicherheit und Compliance-Tools aus. Security DevOps ist datengesteuert mit tragbaren Konfigurationen, die die deterministische Ausführung in mehreren Umgebungen ermöglichen.
Microsoft Security DevOps verwendet die folgenden Open Source-Tools:
| Name | Language | Lizenz |
|---|---|---|
| Antischadsoftware | Anti-Malware-Schutz in Windows von Microsoft Defender for Endpoint, die nach Schadsoftware sucht und den Build bricht, wenn Schadsoftware gefunden wird. Dieses Tool scannt standardmäßig auf dem neuesten Windows-Agent. | Nicht Open Source |
| Bandit | Python | Apache-Lizenz 2.0 |
| BinSkim | Binärdatei--Windows, ELF | MIT-Lizenz |
| Checkov | Terraform, Terraform plan, CloudFormation, Amazon Web Services (AWS) SAM, Kubernetes, Helm Charts, Kustomize, Dockerfile, Serverless, Bicep, OpenAPI, ARM | Apache-Lizenz 2.0 |
| ESlint | JavaScript | MIT-Lizenz |
| Vorlagenanalyse | ARM-Vorlage, Bicep | MIT-Lizenz |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Apache-Lizenz 2.0 |
| Trivy | Containerimages, Infrastruktur als Code (IaC) | Apache-Lizenz 2.0 |
Voraussetzungen
Ein Azure-Abonnement. Wenn Sie noch kein Azure-Abonnement haben, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.
Öffnen Sie die GitHub-Aktion "Microsoft Security DevOps" in einem neuen Fenster.
Stellen Sie sicher, dass Workflowberechtigungen auf "Lesen und Schreiben " im GitHub-Repository festgelegt sind. Dazu gehört das Festlegen der Berechtigung "ID-token: write" im GitHub-Workflow für den Partnerverbund mit Defender for Cloud.
Konfigurieren der GitHub-Aktion von Microsoft Security DevOps
So richten Sie die GitHub-Aktion ein:
Melden Sie sich bei GitHub an.
Wählen Sie ein Repository aus, für das Sie die GitHub-Aktion konfigurieren möchten.
Wählen Sie Actions aus.
Klicken Sie auf New workflow (Neuer Workflow).
Wählen Sie auf der Seite "Erste Schritte mit GitHub Actions" Einen Workflow selbst einrichten aus.
Geben Sie im Textfeld einen Namen für die Workflowdatei ein. Beispiel:
msdevopssec.yml.
Kopieren Sie den folgenden Beispielaktionsworkflow , und fügen Sie ihn in die Registerkarte "Neue Datei bearbeiten" ein.
name: MSDO on: push: branches: - main jobs: sample: name: Microsoft Security DevOps # Windows and Linux agents are supported runs-on: windows-latest permissions: contents: read id-token: write actions: read # Write access for security-events is only required for customers looking for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS) security-events: write steps: # Checkout your code repository to scan - uses: actions/checkout@v3 # Run analyzers - name: Run Microsoft Security DevOps uses: microsoft/security-devops-action@latest id: msdo # with: # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig'). # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub. # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all. # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all. # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'. # Upload alerts to the Security tab - required for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS) # - name: Upload alerts to Security tab # uses: github/codeql-action/upload-sarif@v3 # with: # sarif_file: ${{ steps.msdo.outputs.sarifFile }} # Upload alerts file as a workflow artifact - required for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS) # - name: Upload alerts file as a workflow artifact # uses: actions/upload-artifact@v3 # with: # name: alerts # path: ${{ steps.msdo.outputs.sarifFile }}Hinweis
Weitere Konfigurationsoptionen und Anweisungen zu Tools finden Sie unter the Microsoft Security DevOps wiki
Wählen Sie "Commit starten" aus.
Wählen Sie "Commit für neue Datei ausführen" aus. Beachten Sie, dass der Vorgang bis zu einer Minute dauern kann.
Wählen Sie "Aktionen" aus, und überprüfen Sie, ob die neue Aktion ausgeführt wird.
Scanergebnisse anzeigen
So zeigen Sie Ihre Scanergebnisse an:
Melden Sie sich bei Azure an.
Navigieren Sie zu Defender für Cloud > DevOps Security.
Auf dem DevOps-Sicherheitsblatt können Sie die gleichen Microsoft Security DevOps (MSDO)-Sicherheitsergebnisse sehen, die Entwickler in ihren CI-Protokollen innerhalb von Minuten für das zugeordnete Repository sehen. Kunden mit GitHub Advanced Security sehen auch die Erkenntnisse, die aus diesen Tools übernommen werden.
Learn more
Erfahren Sie mehr über GitHub Aktionen für Azure in GitHub Aktionen für Azure.
Erfahren Sie, wie Sie Apps aus GitHub Azure in Deploy apps from GitHub to Azure bereitstellen.
Erfahren Sie mehr über DevOps-Sicherheit in Defender for Cloud.