Configuración de la acción de GitHub de DevOps de seguridad de Microsoft
Microsoft Security DevOps es una aplicación de línea de comandos que integra herramientas de análisis estáticos en el ciclo de vida de desarrollo. Security DevOps instala, configura y ejecuta las versiones más recientes de herramientas de análisis estáticos, como, ciclo de vida de desarrollo de seguridad (SDL), herramientas de seguridad y cumplimiento. Security DevOps está controlado por datos con configuraciones portátiles que permiten la ejecución determinista en varios entornos.
| Nombre | Idioma | Licencia |
|---|---|---|
| Antimalware | Protección antimalware en Windows de Microsoft Defender para Endpoint, que realiza un análisis en busca de malware e interrumpe la construcción si se ha encontrado malware. Esta herramienta realiza un escaneo de forma predeterminada en el agente windows-latest. | No código abierto |
| bandido | Pitón | Licencia de Apache 2.0 |
| BinSkim | Binario--Windows, ELF | Licencia MIT |
| ESlint | JavaScript | Licencia MIT |
| Analizador de plantillas | Plantilla de ARM, Bicep | Licencia MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Licencia de Apache 2.0 |
| Trivy | imágenes de contenedor, infraestructura como código (IaC) | Licencia de Apache 2.0 |
Prerrequisitos
- Una suscripción a Azure: si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
- Conecte los repositorios de GitHub.
- Siga las instrucciones para configurar GitHub Advanced Security para ver las evaluaciones de la posición de DevOps en Defender for Cloud.
- Abra la acción GitHub de DevOps de seguridad de Microsoft en una nueva ventana.
- Asegúrese de que los Permisos de flujo de trabajo estén establecidos en Lectura y Escritura en el repositorio de GitHub. Esto incluye la configuración de permisos "id-token: escritura" en el flujo de trabajo de GitHub para la federación con Defender for Cloud.
Configuración de la acción de GitHub de DevOps de seguridad de Microsoft
Para configurar la acción de GitHub:
Inicie sesión en GitHub.
Seleccione un repositorio en el que desea configurar la acción de GitHub.
Seleccione Acciones.
Seleccione Nuevo flujo de trabajo.
En la página Introducción a Acciones de GitHub, seleccione configurar un flujo de trabajo usted mismo.
En el cuadro de texto, escriba un nombre para su archivo de flujo de trabajo. Por ejemplo:
msdevopssec.yml.
Copie y pegue el siguiente flujo de trabajo de acción de ejemplo en la pestaña Editar nuevo archivo.
Seleccione Iniciar confirmación.
Seleccione Commit new file (Confirmar nuevo archivo).
Seleccione Acciones y compruebe que se está ejecutando la nueva acción.
Ver resultados del escaneo
Para ver los resultados del escaneo:
- Inicie sesión en GitHub.
- Vaya a Seguridad>Alertas de escaneo de código>Herramienta.
- En el menú desplegable, seleccione Filtrar por herramienta.
Los resultados del examen de código se filtrarán mediante herramientas específicas de MSDO en GitHub. Estos resultados de análisis de código también se extraen en las recomendaciones de Defender for Cloud.