Configurar a ação do GitHub do DevOps de Segurança da Microsoft
O Microsoft Security DevOps é um aplicativo de linha de comando que integra ferramentas de análise estática ao ciclo de vida de desenvolvimento. O DevOps de Segurança instala, configura e executa as versões mais recentes de ferramentas de análise estática, como, SDL (Security Development Lifecycle), ferramentas de segurança e conformidade. O DevOps de segurança é controlado por dados com configurações portáteis que permitem a execução determinística em vários ambientes.
| Nome | Linguagem | Licença |
|---|---|---|
| AntiMalware | Proteção antimalware no Windows do Microsoft Defender para Ponto de Extremidade, que verifica malware e interrompe o build se malware for encontrado. Essa ferramenta verifica por padrão o agente mais recente do Windows. | Não é de software livre |
| Bandido | Python | Licença do Apache 2.0 |
| BinSkim | Binário– Windows, ELF | Licença MIT |
| ESlint | JavaScript | Licença MIT |
| Analisador de Modelos | Modelo do ARM, Bicep | Licença MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Licença do Apache 2.0 |
| Trivy | imagens de contêiner, IaC (Infraestrutura como Código) | Licença do Apache 2.0 |
Pré-requisitos
- Uma assinatura do Azure Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
- Conecte os seus repositórios do GitHub.
- Siga as diretrizes para configurar o GitHub Advanced Security para exibir as avaliações de postura do DevOps no Defender para Nuvem.
- Abra a ação do GitHub do DevOps de Segurança da Microsoft em uma nova janela.
- Certifique-se de que as permissões de fluxo de trabalho estejam definidas como Leitura e Gravação no repositório do GitHub. Isso inclui a configuração de permissões de "id-token: write" no Fluxo de Trabalho do GitHub para federação com o Defender para Nuvem.
Configurar a ação do GitHub do DevOps de Segurança da Microsoft
Para configurar a ação do GitHub:
Faça login no GitHub.
Selecione um repositório para o qual você deseja configurar a ação do GitHub.
Selecione Ações.
Selecione Novo fluxo de trabalho.
Na página Introdução ao GitHub Actions, selecione configurar um fluxo de trabalho por conta própria.
Na caixa de texto, insira um nome para o arquivo de fluxo de trabalho. Por exemplo,
msdevopssec.yml.
Copie e cole o fluxo de trabalho de ação de exemplo a seguir na guia Editar novo arquivo.
Selecione Iniciar confirmação.
Selecione Confirmar novo arquivo.
Selecione Ações e verifique se a nova ação está em execução.
Exibir resultados da verificação
Para exibir os resultados da verificação:
- Faça login no GitHub.
- Navegue até Segurança>Alertas de digitalização de código>Ferramenta.
- No menu suspenso, selecione Filtrar por ferramenta.
As descobertas de verificação de código serão filtradas por ferramentas específicas do MSDO no GitHub. Esses resultados de verificação de código também são extraídos para recomendações do Defender para Nuvem.