GitHub Advanced Security (GHAS) 與 Microsoft Defender for Cloud 的整合,將你的原始碼倉庫連接到雲端工作負載。 此整合能自動將程式碼變更映射至生產環境,根據真實執行時情境優先排序安全警示,並促進開發與安全團隊間協調的修復工作流程。 它提供整個開發生命週期的統一安全可視性。
使用此整合來:
- 追蹤從原始碼到已部署應用程式的漏洞。
- 專注於影響生產工作負載的安全議題。
- 協調 GitHub 倉庫與 Azure 環境之間的修復。
- 善用 AI 驅動的修復工具,加速解決方案。
本概述說明整合的運作方式,並幫助您在部署前了解其核心功能。 該整合目前仍處於預覽階段。
備註
目前的預覽版中,僅支援將 GHAS 與 Defender for Cloud 的原生整合用於容器工作負載。
主要功能
智慧程式碼到雲端映射
當你 將 GitHub 組織或儲存庫連接到 Microsoft Defender for Cloud 時,系統會自動將原始碼倉庫對應到正在執行的雲端工作負載。 它使用 Defender for Cloud 專有的程式碼轉雲端方法,確保每個工作負載都能追蹤到其原始資料庫(反之亦然)。
這項功能讓您能即時掌握端對端的可見性,讓您知道每個部署應用程式的程式碼驅動,無需花費大量時間手動映射。
生產狀況敏感的警報優先排序
突破嘈雜的安全警示,專注於真正重要的漏洞。
GitHub 中的 GHAS 安全發現會依據 Defender for Cloud 的真實執行時上下文來優先排序。 他們強調風險因素,如 網路暴露、 敏感資料、 關鍵資源及 橫向流動。 這些風險會在執行時工作負載中被識別,並動態連結到這些工作負載的原始程式碼庫及 GitHub 中的特定建置產物。
你可以過濾、分類和處理那些對實際生產環境造成影響的安全問題。 這項能力幫助團隊保持效率,並保護最重要的應用程式安全。
統一的 AI 驅動補救措施
透過整合的工作流程與相關脈絡,彌合安全與工程團隊之間的鴻溝。
在 Defender for Cloud 中,資安經理可以看到工程團隊已知哪些安全問題,以及這些問題的狀態。 資安管理員透過選擇 「View on GitHub 」連結來開啟此檢視。
資安經理可透過產生 GitHub 議題指派,指派安全建議給相關工程團隊解決。
該指派是在原點儲存庫上產生的。 它提供執行時資訊與上下文,方便工程修正。
工程經理可以將問題指派給開發者進行進一步解決。 受派人可以使用 Copilot 編碼代理程式,進行 AI 驅動的自動修正。
GitHub 的問題修正、進度與活動進展皆可即時追蹤。 這些狀態同時反映在 GitHub 和 Defender for Cloud。
此方法確保修復能迅速交付,建立明確的問責機制,並簡化協作流程。 所有這些好處都發生在你團隊已經使用的工具裡。
先決條件
| 層面 | 詳細資訊 |
|---|---|
| 環境要求 | - GitHub 帳號,並以 Defender for Cloud 建立連接器 - GHAS 授權 - 在訂閱上啟用 Defender 雲端安全態勢管理(CSPM) - Microsoft Security Copilot(可選用於自動修復) |
| 角色和權限 | - 安全管理員權限 - Azure 訂閱上的 Security Reader(可在 Defender for Cloud 中查看發現) - GitHub 組織擁有者 |
| 雲端環境 | - 僅在商業雲端提供(不包括 Azure Government、21Vianet 運營的 Azure,或其他主權雲端) |