Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Segurança da Microsoft DevOps é um aplicativo de linha de comando que integra ferramentas de análise estática ao ciclo de vida de desenvolvimento. O DevOps de segurança instala, configura e executa as versões mais recentes de ferramentas de análise estática, como SDL, segurança e ferramentas de conformidade. O DevOps de segurança é controlado por dados com configurações portáteis que permitem a execução determinística em vários ambientes.
O Segurança da Microsoft DevOps usa as seguintes ferramentas de Software Livre:
| Nome | Linguagem | Licença |
|---|---|---|
| AntiMalware | A proteção antimalware no Windows do Microsoft Defender para Ponto de Extremidade, que verifica a presença de malware e interrompe a compilação se malware for encontrado. Essa ferramenta verifica por padrão o agente mais recente do Windows. | Não é código aberto |
| Bandit | Python | Licença do Apache 2.0 |
| BinSkim | Binário– Windows, ELF | Licença MIT |
| Checkov | Terraform, plano Terraform, CloudFormation, AWS (Amazon Web Services) SAM, Kubernetes, gráficos do Helm, Kustomize, Dockerfile, Serverless, Bicep, OpenAPI, ARM | Licença do Apache 2.0 |
| ESlint | JavaScript | Licença MIT |
| Analisador de Modelos | Modelo do ARM, Bicep | Licença MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Licença do Apache 2.0 |
| Trivy | imagens de contêiner, IaC (Infraestrutura como Código) | Licença do Apache 2.0 |
Pré-requisitos
Uma assinatura do Azure. Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
Abra a ação do GitHub do DevOps de Segurança da Microsoft em uma nova janela.
Verifique se as permissões de fluxo de trabalho estão definidas como Leitura e Gravação no repositório GitHub. Isso inclui a configuração da permissão "ID-token: write" no fluxo de trabalho GitHub para federação com Defender para Nuvem.
Configurar a ação do GitHub do Segurança da Microsoft DevOps
Para configurar a ação GitHub:
Faça login no GitHub.
Selecione um repositório para o qual você deseja configurar a ação do GitHub.
Selecione Ações.
Selecione Novo fluxo de trabalho.
Na página Introdução à GitHub Actions, selecione definir um fluxo de trabalho por conta própria.
Na caixa de texto, insira um nome para o arquivo de fluxo de trabalho. Por exemplo,
msdevopssec.yml.
Copie e cole o fluxo de trabalho de ação de exemplo a seguir na aba de edição do novo arquivo.
name: MSDO on: push: branches: - main jobs: sample: name: Microsoft Security DevOps # Windows and Linux agents are supported runs-on: windows-latest permissions: contents: read id-token: write actions: read # Write access for security-events is only required for customers looking for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS) security-events: write steps: # Checkout your code repository to scan - uses: actions/checkout@v3 # Run analyzers - name: Run Microsoft Security DevOps uses: microsoft/security-devops-action@latest id: msdo # with: # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig'). # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub. # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all. # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all. # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'. # Upload alerts to the Security tab - required for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS) # - name: Upload alerts to Security tab # uses: github/codeql-action/upload-sarif@v3 # with: # sarif_file: ${{ steps.msdo.outputs.sarifFile }} # Upload alerts file as a workflow artifact - required for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS) # - name: Upload alerts file as a workflow artifact # uses: actions/upload-artifact@v3 # with: # name: alerts # path: ${{ steps.msdo.outputs.sarifFile }}Observação
Para obter mais opções e instruções de configuração de ferramentas, consulte o wiki Segurança da Microsoft DevOps
Selecionar Iniciar confirmação
Selecione Confirmar novo arquivo. Observe que o processo pode levar até um minuto para ser concluído.
Selecione Ações e verifique se a nova ação está em execução.
Ver resultados da varredura
Para exibir os resultados da verificação:
Inicie sessão no Azure.
Navegue até Defender para Cloud > DevOps Security.
No painel Segurança do DevOps, você pode ver, em poucos minutos, os mesmos resultados de segurança do Segurança da Microsoft DevOps (MSDO) que os desenvolvedores veem em seus logs de CI para o repositório associado. Os clientes com GitHub Segurança Avançada também veem as descobertas ingeridas dessas ferramentas.
Saiba Mais
Saiba mais sobre as ações do GitHub para Azure em Ações do GitHub para Azure.
Saiba como implantar aplicativos do GitHub no Azure em Implantar aplicativos do GitHub no Azure.
Saiba mais sobre a segurança do DevOps no Microsoft Defender para Nuvem.