Konfigurieren der GitHub-Aktion von Microsoft Security DevOps
Microsoft Security DevOps ist eine Befehlszeilenanwendung, die statische Analysetools in den Entwicklungslebenszyklus integriert. Security DevOps installiert, konfiguriert und führt die neuesten Versionen statischer Analysetools wie Security Development Lifecycle (SDL), Sicherheits- und Compliancetools aus. Security DevOps ist datengesteuert mit tragbaren Konfigurationen, die die deterministische Ausführung in mehreren Umgebungen ermöglichen.
| Name | Sprache | Lizenz |
|---|---|---|
| Antischadsoftware | Antischadsoftwareschutz in Windows von Microsoft Defender für Endpunkt, der nach Schadsoftware sucht und den Build bricht, wenn Schadsoftware gefunden wurde. Dieses Tool scannt standardmäßig auf dem neuesten Windows-Agent. | Nicht Open Source |
| Bandit | Python | Apache-Lizenz 2.0 |
| BinSkim | Binär--Windows, ELF | MIT-Lizenz |
| ESlint | JavaScript | MIT-Lizenz |
| Vorlagenanalyse | ARM-Vorlage, Bicep | MIT-Lizenz |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Apache-Lizenz 2.0 |
| Trivy | Containerimages, Infrastruktur als Code (IaC) | Apache-Lizenz 2.0 |
Voraussetzungen
- Ein Azure-Abonnement: Falls Sie nicht über ein Azure-Abonnement verfügen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
- Stellen Sie eine Verbindung zu Ihren GitHub-Repositorys her.
- Verwenden Sie den Leitfaden zum Einrichten von GitHub Advanced Security, um DevOps-Statusbewertungen in Defender for Cloud anzuzeigen.
- Öffnen Sie die Microsoft Security DevOps GitHub-Aktion in einem neuen Fenster.
- Stellen Sie sicher, dass im GitHub-Repository die Workflowberechtigungen auf Lesen und Schreiben festgelegt sind. Dies umfasst das Festlegen von "id-token: write"-Berechtigungen im GitHub-Workflow für den Partnerverbund mit Defender für Cloud.
Konfigurieren der GitHub-Aktion von Microsoft Security DevOps
So richten Sie die GitHub-Aktionein:
Melden Sie sich bei GitHuban.
Wählen Sie ein Repository aus, für das Sie die GitHub-Aktion konfigurieren möchten.
Wählen Sie Aktionen aus.
Klicken Sie auf New workflow (Neuer Workflow).
Wählen Sie auf der Seite „Erste Schritte mit GitHub Actions“ die Option Workflow selbst einrichten aus.
Geben Sie im Textfeld einen Namen für die Workflowdatei ein. Beispiel:
msdevopssec.yml.
Kopieren Sie den folgenden Beispielaktionsworkflow in die Registerkarte "Neue Datei bearbeiten", und fügen Sie ihn ein.
Klicken Sie auf Start commit (Commit starten).
Wählen Sie Commit new file (Neue Datei committen) aus.
Wählen Sie Aktionen aus, und überprüfen Sie, ob die neue Aktion ausgeführt wird.
Scanergebnisse anzeigen
So zeigen Sie die Überprüfungsergebnisse an:
- Melden Sie sich bei GitHuban.
- Navigieren Sie zu Sicherheitswarnungen>Codeüberprüfungswarnungen>Tool.
- Wählen Sie im Dropdownmenü Filtern nach Werkzeug aus.
Die Codeüberprüfungsergebnisse werden nach bestimmten MSDO-Tools in GitHub gefiltert. Diese Codescanergebnisse werden auch in die Empfehlungen von Defender for Cloud integriert.