Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Security DevOps é um aplicativo de linha de comando que integra ferramentas de análise estática no ciclo de vida do desenvolvimento. O Security DevOps instala, configura e executa as versões mais recentes de ferramentas de análise estática, como SDL, ferramentas de segurança e conformidade. O Security DevOps é orientado por dados com configurações portáteis que permitem a execução determinística em vários ambientes.
O Microsoft Security DevOps usa as seguintes ferramentas de código aberto:
| Nome | Linguagem | Licença |
|---|---|---|
| AntiMalware | Proteção anti-malware no Windows do Microsoft Defender para Endpoint que analisa malware e quebra a configuração se for detetado malware. Esta ferramenta verifica por padrão no agente mais recente do Windows. | Não Open Source |
| Bandit | Python | Apache Licença 2.0 |
| BinSkim | Binário--Windows, ELF | Licença MIT |
| Checkov | Terraform, Terraform plan, CloudFormation, Amazon Web Services (AWS) SAM, Kubernetes, Helm charts, Kustomize, Dockerfile, Serverless, Bicep, OpenAPI, ARM | Apache Licença 2.0 |
| ESlint | JavaScript | Licença MIT |
| Analisador de modelos | Modelo ARM, bíceps | Licença MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON / YAML), Leme v3, Kustomize, Dockerfiles, CloudFormation | Apache Licença 2.0 |
| Trivy | imagens de contêiner, Infraestrutura como código (IaC) | Apache Licença 2.0 |
Pré-requisitos
Uma assinatura do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Abra a ação Microsoft Security DevOps GitHub em uma nova janela.
Verifique se as permissões de fluxo de trabalho estão definidas como Leitura e gravação no repositório GitHub. Isto inclui definir a permissão "ID-token: write" no fluxo de trabalho do GitHub para federação com o Defender para a Cloud.
Configurar a ação do Microsoft Security DevOps do GitHub
Para configurar a ação do GitHub:
Faça login no GitHub.
Selecione um repositório para o qual você deseja configurar a ação do GitHub.
Selecione Ações.
Selecione Novo fluxo de trabalho.
Na página Introdução ao GitHub Actions, selecione criar um fluxo de trabalho manualmente.
Na caixa de texto, insira um nome para o arquivo de fluxo de trabalho. Por exemplo,
msdevopssec.yml.
Copie e cole o fluxo de trabalho de ação de exemplo a seguir na guia Editar ficheiro novo.
name: MSDO on: push: branches: - main jobs: sample: name: Microsoft Security DevOps # Windows and Linux agents are supported runs-on: windows-latest permissions: contents: read id-token: write actions: read # Write access for security-events is only required for customers looking for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS) security-events: write steps: # Checkout your code repository to scan - uses: actions/checkout@v3 # Run analyzers - name: Run Microsoft Security DevOps uses: microsoft/security-devops-action@latest id: msdo # with: # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig'). # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub. # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all. # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all. # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'. # Upload alerts to the Security tab - required for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS) # - name: Upload alerts to Security tab # uses: github/codeql-action/upload-sarif@v3 # with: # sarif_file: ${{ steps.msdo.outputs.sarifFile }} # Upload alerts file as a workflow artifact - required for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS) # - name: Upload alerts file as a workflow artifact # uses: actions/upload-artifact@v3 # with: # name: alerts # path: ${{ steps.msdo.outputs.sarifFile }}Observação
Para mais opções e instruções de configuração de ferramentas, veja a wiki Microsoft Security DevOps
Selecione Iniciar confirmação
Selecione Confirmar novo arquivo. Observe que o processo pode levar até um minuto para ser concluído.
Selecione Ações e verifique se a nova ação está em execução.
Ver resultados da varredura
Para visualizar os resultados da análise:
Inicie sessão no Azure.
Navegue até Defender para a Cloud > DevOps Security.
No painel de segurança do DevOps, pode ver os mesmos resultados de segurança do Microsoft Security DevOps (MSDO) que os programadores veem nos respetivos registos de CI, relativos ao repositório associado, no espaço de poucos minutos. Os clientes com GitHub Advanced Security também veem as conclusões obtidas destas ferramentas.
Mais informações
Saiba mais sobre GitHub Actions para Azure em GitHub Actions para Azure.
Aprenda a implementar aplicações de GitHub para Azure em Implemente aplicações de GitHub para Azure.
Saiba mais sobre a segurança de DevOps no Defender para a Cloud.