設定 Microsoft Security DevOps GitHub 動作
Microsoft Security DevOps 是一種命令行應用程式,可將靜態分析工具整合到開發生命週期中。 安全性 DevOps 會安裝、設定及執行最新版的靜態分析工具,例如 安全性開發週期 (SDL)、安全性與合規性工具。 安全開發運維以數據為驅動,並透過可攜式設定,確保能在多個環境中進行確定性執行。
| 名稱 | 語言 | 授權 |
|---|---|---|
| 反惡意程式碼軟體 | 適用於端點的 Microsoft Defender 在 Windows 中提供的反惡意程式碼軟體保護,可掃描惡意程式碼並在發現惡意程式碼時中斷組建。 此工具預設會在 Windows 最新代理程式上掃描。 | 非開放原始碼 |
| 強盜 (英文) | Python | Apache 授權 2.0 |
| BinSkim | Binary--Windows、ELF | MIT 授權 |
| ESlint | JavaScript | MIT 授權 |
| 範本分析器 (英文) | ARM 範本、Bicep | MIT 授權 |
| Terrascan | Terraform (HCL2)、Kubernetes (JSON/YAML)、Helm v3、Kustomize、Dockerfiles、CloudFormation | Apache 授權 2.0 |
| Trivy | 容器映像,基礎結構即程序代碼 (IaC) | Apache 授權 2.0 |
先決條件
- Azure 訂用帳戶 如果您沒有 Azure 訂用帳戶,請在開始之前建立一個免費帳戶。
- 連線到您的 GitHub 存放庫 (部分內容可能是機器或 AI 翻譯)。
- 請遵循指引來設定 GitHub Advanced Security (英文),以檢視適用於雲端的 Defender 中的 DevOps 狀態評估。
- 在新視窗中開啟 Microsoft 安全性 DevOps GitHub 動作 (英文)。
- 確定在 GitHub 存放庫上將 [工作流程] 權限設定為 [讀取及寫入] (英文)。 這包括在 GitHub 工作流程中設定 「id-token: write」 許可權,以與 Defender for Cloud 進行 federation。
設定 Microsoft Security DevOps GitHub 動作
若要設定 GitHub 動作:
登入 GitHub (英文)。
選取您要設定 GitHub 動作的存放庫。
選取 [動作]。
選取 [新增工作流程]。
在 [開始使用 GitHub Actions] 頁面上,選取 [自行設定工作流程]。
在文字輸入框中,輸入工作流程檔案的名稱。 例如:
msdevopssec.yml。
選取 [開始認可]。
選取 [認可新檔案]。
選取 [動作],並確認新動作正在執行。
檢視掃描結果
若要檢視您的掃描結果:
- 登入 GitHub (英文)。
- 瀏覽至 [安全性]>[程式代碼掃描警示]>[工具]。
- 從下拉式功能表中,選取 [依工具篩選]。
程式碼掃描結果會透過 GitHub 中的特定 MSDO 工具進行篩選。 這些程式代碼掃描結果也會提取到適用於雲端的Defender建議中。