Microsoft Security DevOps GitHub アクションを構成する
Microsoft Security DevOps は、静的分析ツールを開発ライフサイクルに統合するコマンド ライン アプリケーションです。 Security DevOps は、セキュリティ 開発ライフサイクル (SDL)、セキュリティおよびコンプライアンス ツールなどの最新バージョンの静的分析ツールをインストール、構成、実行します。 Security DevOps はデータドリブンであり、複数の環境で決定性の実行を可能にする移植可能な構成を備えています。
| 名前 | 言語 | ライセンス |
|---|---|---|
| マルウェア対策 | Microsoft Defender for Endpoint による Windows のマルウェア対策保護。マルウェアをスキャンし、マルウェアが検出された場合はビルドを中断します。 このツールは、既定では Windows 最新エージェントでスキャンします。 | オープンソースではない |
| 山賊 | Python | Apache License 2.0 |
| BinSkim | バイナリ -- Windows、ELF | MIT ライセンス |
| ESlint | JavaScript | MIT ライセンス |
| Template Analyzer | ARM テンプレート、Bicep | MIT ライセンス |
| Terrascan | Terraform (HCL2)、Kubernetes (JSON/YAML)、Helm v3、Kustomize、Dockerfiles、CloudFormation | Apache License 2.0 |
| Trivy | コンテナー イメージ、コードとしてのインフラストラクチャ (IaC) | Apache License 2.0 |
前提条件
- Azure サブスクリプション Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
- GitHub リポジトリを接続します。
- ガイダンスに従って GitHub Advanced Security を設定し、Defender for Cloud で DevOps ポスチャ評価を表示します。
- 新しいウィンドウで Microsoft Security DevOps GitHub アクション を開きます。
- ワークフローのアクセス許可が GitHub リポジトリの読み取りと書き込みに設定されていることを確認します。 これには、Defender for Cloud と連携するための GitHub ワークフローでの "id-token: write "パーミッションの設定も含まれます。
Microsoft Security DevOps GitHub アクションを構成する
GitHub アクションを設定するには:
GitHub にサインインします。
GitHub アクションを構成するリポジトリを選びます。
[アクション] を選択します。
[ 新しいワークフロー] を選択します。
[GitHub Actions で始める] ページで、「自分でワークフローを設定する」を選択します。
テキスト ボックスに、ワークフロー ファイルの名前を入力します。 たとえば、
msdevopssec.ymlのようにします。
次の サンプル アクション ワークフロー をコピーし、[新しいファイルの編集] タブに貼り付けます。
[ コミットの開始] を選択します。
[ 新しいファイルのコミット] を選択します。
[ アクション] を 選択し、新しいアクションが実行されていることを確認します。
スキャンの結果を表示する
スキャンの結果を表示するには:
- GitHub にサインインします。
- セキュリティ>コードスキャンアラート>ツール に移動します。
- ドロップダウン メニューから、[ ツールでフィルター] を選択します。
コード スキャンの結果が、GitHub の特定の MSDO ツールによってフィルター処理されます。 これらのコード スキャン結果は、Defender for Cloud の推奨事項にも取り込まれます。