Microsoft Security DevOps GitHub 작업 구성
Microsoft Security DevOps는 정적 분석 도구를 개발 수명 주기에 통합하는 명령줄 애플리케이션입니다. 보안 DevOps는 SDL(보안 개발 수명 주기), 보안 및 준수 도구와 같은 최신 버전의 정적 분석 도구를 설치, 구성 및 실행합니다. Security DevOps는 여러 환경에서 결정적 실행을 가능하게 하는 이식 가능한 구성으로 데이터 기반입니다.
| 이름 | 언어 | 라이선스 |
|---|---|---|
| AntiMalware | 맬웨어를 검사하고 맬웨어가 검색되면 빌드를 중단시키는 Windows의 엔드포인트용 Microsoft Defender의 Windows 맬웨어 방지 보호입니다. 이 도구는 기본적으로 Windows 최신 에이전트를 검사합니다. | 오픈 소스 아님 |
| Bandit | Python | Apache License 2.0 |
| BinSkim | Binary--Windows, ELF | MIT 라이선스 |
| ESlint | JavaScript | MIT 라이선스 |
| 템플릿 분석기 | ARM 템플릿, Bicep | MIT 라이선스 |
| Terrascan | Terraform(HCL2), Kubernetes(JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Apache License 2.0 |
| Trivy | 컨테이너 이미지, IaC(Infrastructure as Code) | Apache License 2.0 |
필수 조건
- Azure 구독. Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.
- GitHub 리포지토리를 연결합니다.
- 클라우드용 Defender에서 DevOps 상태 평가를 보려면 지침에 따라 GitHub 고급 보안을 설정합니다.
- 새 창에서 Microsoft Security DevOps GitHub 작업을 엽니다.
- GitHub 리포지토리에서 워크플로 권한이 읽기 및 쓰기로 설정되어 있는지 확인합니다. 여기에는 클라우드용 Defender와의 페더레이션을 위해 GitHub 워크플로에서 "id-token: write" 권한 설정이 포함됩니다.
Microsoft Security DevOps GitHub 작업 구성
GitHub 작업을 설정하려면 다음을 수행합니다.
GitHub에 로그인합니다.
GitHub 작업을 구성하려는 리포지토리를 선택합니다.
작업을 선택합니다.
새 워크플로를 선택합니다.
GitHub Actions 시작 페이지에서 직접 워크플로 설정을 선택합니다.
텍스트 상자에 워크플로 파일의 이름을 입력합니다. 예들 들어
msdevopssec.yml입니다.
다음 샘플 작업 워크플로를 복사하고 새 파일 편집 탭에 붙여넣습니다.
커밋 시작을 선택합니다.
새 파일 커밋을 선택합니다.
작업을 선택하고 새 작업이 실행 중인지 확인합니다.
검색 결과 보기
검사 결과를 보려면 다음을 수행합니다.
- GitHub에 로그인합니다.
- 보안>코드 검사 경고>도구로 이동합니다.
- 드롭다운 메뉴에서 도구별로 필터링을 선택합니다.
코드 검사 결과는 GitHub의 특정 MSDO 도구별로 필터링됩니다. 이러한 코드 검사 결과는 클라우드용 Defender 권장 사항으로도 가져옵니다.