Configurer l’action GitHub Microsoft Security DevOps
Microsoft Security DevOps est une application en ligne de commande qui intègre des outils d’analyse statique dans le cycle de vie du développement. Security DevOps installe, configure et exécute les dernières versions des outils d’analyse statique tels que security Development Lifecycle (SDL), les outils de sécurité et de conformité. Security DevOps est piloté par les données avec des configurations portables qui permettent l’exécution déterministe dans plusieurs environnements.
| Nom | Langue | Licence |
|---|---|---|
| Antimalware | La protection contre les logiciels anti-programme malveillant, dans Windows de Microsoft Defender for Endpoint, analyse à la recherche de programmes malveillants et interrompt la génération si un programme malveillant a été détecté. Cet outil analyse par défaut sur l’agent windows-latest. | Non open source |
| Bandit | Python | Licence Apache 2.0 |
| BinSkim | Binaire--Windows, ELF | Licence MIT |
| ESlint | JavaScript | Licence MIT |
| Analyseur de modèle | Modèle ARM, Bicep | Licence MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Licence Apache 2.0 |
| Trivy | images de conteneur, Infrastructure as Code (IaC) | Licence Apache 2.0 |
Conditions préalables
- Un abonnement Azure Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
- Connectez vos référentiels GitHub.
- Suivez les instructions pour configurer GitHub Advanced Security pour afficher les évaluations de posture DevOps dans Defender pour Cloud.
- Ouvrez l’action GitHub Microsoft Security DevOps dans une nouvelle fenêtre.
- Vérifiez que les autorisations de flux de travail sont définies sur Lecture et écriture sur le référentiel GitHub. Cela inclut la définition des autorisations « id-token : write » dans le flux de travail GitHub pour la fédération avec Defender pour Cloud.
Configurer l’action GitHub Microsoft Security DevOps
Pour configurer l’action GitHub :
Sélectionnez un référentiel sur lequel vous souhaitez configurer l’action GitHub.
Sélectionnez Actions.
Sélectionnez Nouveau flux de travail.
Dans la page Prise en main de GitHub Actions, sélectionnez configurer un flux de travail vous-même.
Dans la zone de texte, saisissez un nom pour le fichier de workflow. Par exemple :
msdevopssec.yml.
Copiez et collez l’exemple de flux de travail d’action suivant dans l’onglet Modifier un nouveau fichier.
Sélectionnez Démarrer la validation.
Sélectionnez Valider le nouveau fichier.
Sélectionnez Actions et vérifiez que la nouvelle action est en cours d’exécution.
Afficher les résultats de l’analyse
Pour afficher les résultats de votre analyse :
- Connectez-vous à GitHub.
- Accédez à Sécurité>Alertes d’analyse du code>Outil.
- Dans le menu déroulant, sélectionnez Filtrer par outil.
Les résultats d’analyse de code sont filtrés par des outils MSDO spécifiques dans GitHub. Ces résultats d’analyse du code sont également intégrés aux recommandations Defender for Cloud.