你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文总结了 Microsoft Defender for Cloud 中的 DevOps 安全性功能的支持信息。
DevOps 安全性提供对 DevOps 环境的可见性,帮助安全团队发现错误配置、公开的机密以及 Azure DevOps、GitHub 和 GitLab 中存储库和 CI/CD 管道的代码漏洞。
云和区域支持
DevOps 安全性在以下区域的 Azure 商业云中提供:
- 亚洲(东亚)
- 澳大利亚(澳大利亚东部)
- 加拿大(加拿大中部)
- 欧洲(欧洲西部、欧洲北部、瑞典中部)
- 英国(英国南部)
- 美国(美国东部、美国中部)
DevOps 平台支持
DevOps 安全性目前支持以下 DevOps 平台:
所需的权限
DevOps 安全性需要以下权限:
| 功能 / 特点 | 权限 |
|---|---|
| 将 DevOps 环境连接到 Defender for Cloud |
|
| 查看安全见解和发现 | 安全读取器 |
| 配置拉取请求注释 | 订阅参与者或所有者 |
| 在 Azure DevOps 中安装 Microsoft Security DevOps 扩展 | Azure DevOps 项目集合管理员 |
| 在 GitHub 中安装 Microsoft Security DevOps 操作 | GitHub 写入 |
注释
为了避免在订阅上设置高级权限以读取 DevOps 安全见解和发现,请在资源组或连接器级别应用安全阅读者角色。
功能可用性
启用付费的 Defender 云安全态势管理(Defender CSPM)计划后,您可以使用 DevOps 安全功能,包括代码到云的上下文化、安全资源浏览器、攻击路径分析以及为基础设施即代码中的安全发现提供的拉取请求注释。
下表汇总了受支持的 DevOps 平台中每个功能的可用性和先决条件:
Azure DevOps
| 功能 / 特点 | 基础 CSPM | Defender 云安全态势管理 | 先决条件 |
|---|---|---|---|
| 连接 Azure DevOps 存储库 | 是的 | 是的 | 请参阅 Azure DevOps 载入先决条件 |
| Azure DevOps 资源的清单 | 是的 | 是的 | Azure DevOps 连接器 |
| 修复 DevOps 环境配置错误的安全建议 | 是的 | 是的 | Azure DevOps 连接器 |
| 修复代码漏洞的安全建议 | 是的 | 是的 | 无代理代码扫描(预览版)进行无代理扫描,Microsoft 安全 DevOps 扩展进行管道内扫描,或适用于 Microsoft Azure DevOps 的 GitHub Advanced Security 进行 CodeQL 扫描 |
| 修复基础结构即代码(IaC)配置错误的安全建议 | 是的 | 是的 | 无代理代码扫描(预览版)用于无代理扫描,或Microsoft Security DevOps 扩展用于管道内扫描 |
| 发现公开机密的安全建议 | 是的 | 是的 | 适用于 Azure DevOps 的 GitHub Advanced Security |
| 修复开源漏洞的安全建议 | 是的 | 是的 | 适用于 Azure DevOps 的 GitHub Advanced Security |
| 拉取请求注释 | 否 | 是的 | 请参阅 拉取请求注释先决条件 |
| 容器的代码到云映射 | 否 | 是的 | Microsoft Security DevOps 扩展 |
| 基础结构即代码 (IaC) 模板的代码到云映射 | 否 | 是的 | Microsoft Security DevOps 扩展 |
| 攻击路径分析 | 否 | 是的 | 在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM |
| 云安全资源管理器 | 否 | 是的 | 在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM |
GitHub
| 功能 / 特点 | 基础 CSPM | Defender 云安全态势管理 | 先决条件 |
|---|---|---|---|
| 连接 GitHub 存储库 | 是的 | 是的 | 请参阅 GitHub 载入先决条件 |
| GitHub DevOps 资源的清单 | 是的 | 是的 | GitHub 连接器 |
| 修复 DevOps 环境配置错误的安全建议 | 是的 | 是的 | GitHub 连接器 |
| 修复代码漏洞的安全建议 | 是的 | 是的 | 无代理代码扫描(预览版)用于无代理扫描,Microsoft 安全 DevOps 操作用于管道内扫描,或GitHub 高级安全性用于 CodeQL 扫描 |
| 修复基础结构即代码(IaC)配置错误的安全建议 | 是的 | 是的 | 无代理代码扫描(预览版)进行无代理扫描,或 Microsoft 安全 DevOps 行动进行管理内扫描 |
| 发现公开机密的安全建议 | 是的 | 是的 | GitHub 高级安全性 |
| 修复开源漏洞的安全建议 | 是的 | 是的 | GitHub 高级安全性 |
| 容器的代码到云映射 | 否 | 是的 | Microsoft Security DevOps 操作 |
| 攻击路径分析 | 否 | 是的 | 在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM |
| 云安全资源管理器 | 否 | 是的 | 在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM |
GitLab
| 功能 / 特点 | 基础 CSPM | Defender 云安全态势管理 | 先决条件 |
|---|---|---|---|
| 连接 GitLab 项目 | 是的 | 是的 | 请参阅 GitLab 载入先决条件 |
| 修复代码漏洞的安全建议 | 是的 | 是的 | GitLab Ultimate |
| 修复基础结构即代码(IaC)配置错误的安全建议 | 是的 | 是的 | GitLab Ultimate |
| 发现公开机密的安全建议 | 是的 | 是的 | GitLab Ultimate |
| 修复开源漏洞的安全建议 | 是的 | 是的 | GitLab Ultimate |
| 云安全资源管理器 | 否 | 是的 | 在 DevOps 连接器所在租户中的 Azure 订阅、AWS 连接器或 GCP 连接器上启用 Defender CSPM |