Configurar a ação do GitHub do Microsoft Security DevOps
O Microsoft Security DevOps é um aplicativo de linha de comando que integra ferramentas de análise estática no ciclo de vida do desenvolvimento. O Security DevOps instala, configura e executa as versões mais recentes de ferramentas de análise estática, como SDL (Security Development Lifecycle, ferramentas de segurança e conformidade. O Security DevOps é orientado por dados com configurações portáteis que permitem a execução determinística em vários ambientes.
| Nome | Idioma | Licença |
|---|---|---|
| AntiMalware | Proteção antimalware no Windows do Microsoft Defender for Endpoint, que verifica a existência de malware e quebra a compilação se o malware tiver sido encontrado. Esta ferramenta verifica por padrão no agente mais recente do Windows. | Não Open Source |
| Bandido | Python | Apache Licença 2.0 |
| BinSkim | Binário--Windows, ELF | Licença MIT |
| ESlint | JavaScript | Licença MIT |
| Analisador de modelos | Modelo ARM, bíceps | Licença MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON / YAML), Leme v3, Kustomize, Dockerfiles, CloudFormation | Apache Licença 2.0 |
| Trivy | imagens de contêiner, Infraestrutura como código (IaC) | Apache Licença 2.0 |
Pré-requisitos
- Uma assinatura do Azure Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
- Conecte seus repositórios do GitHub.
- Siga as orientações para configurar o GitHub Advanced Security para visualizar as avaliações de postura de DevOps no Defender for Cloud.
- Abra a ação Microsoft Security DevOps GitHub em uma nova janela.
- Verifique se as permissões de fluxo de trabalho estão definidas como Leitura e gravação no repositório GitHub. Isso inclui a configuração de permissões "id-token: write" no Fluxo de Trabalho do GitHub para federação com o Defender for Cloud.
Configurar a ação do GitHub do Microsoft Security DevOps
Para configurar a ação do GitHub:
Faça login no GitHub.
Selecione um repositório para o qual você deseja configurar a ação do GitHub.
Selecione Ações.
Selecione Novo fluxo de trabalho.
Na página Introdução às Ações do GitHub, selecione configurar um fluxo de trabalho você mesmo.
Na caixa de texto, insira um nome para o arquivo de fluxo de trabalho. Por exemplo,
msdevopssec.yml.
Copie e cole o seguinte fluxo de trabalho de ação de exemplo na guia Editar novo ficheiro.
Selecione Iniciar commit.
Selecione Confirmar novo arquivo.
Selecione Ações e verifique se a nova ação está em execução.
Ver Resultados da Análise
Para ver os resultados da análise:
- Faça login no GitHub.
- Navegue até Segurança >alertas de análise de código>Ferramenta.
- No menu suspenso, selecione Filtrar por ferramenta.
Os resultados da verificação de código serão filtrados por ferramentas MSDO específicas no GitHub. Esses resultados de verificação de código também são incluídos nas recomendações do Defender for Cloud.