設定 Microsoft Security DevOps GitHub 動作
Microsoft Security DevOps 是一個命令列應用程式,它可將靜態分析工具整合到開發生命週期中。 安全性 DevOps 可安裝、設定及執行最新版的靜態分析工具,例如安全性開發生命週期 (SDL)、安全性與合規性工具。 安全性 DevOps 是由資料驅動的,具有可移植的設定,可跨多個環境進行確定性執行。
| 名稱 | 語言 | 授權 |
|---|---|---|
| 反惡意程式碼軟體 | Windows 中的反惡意程式碼軟體保護會從適用於端點的 Microsoft Defender 掃描惡意程式碼,並在找到惡意程式碼時中斷組建。 此工具預設會在 Windows 最新代理程式上進行掃描。 | 不是開放原始碼 |
| Bandit | Python | Apache License 2.0 |
| BinSkim | Binary--Windows、ELF | MIT 授權 |
| ESlint | JavaScript | MIT 授權 |
| 範本分析器 | ARM 範本、Bicep | MIT 授權 |
| Terrascan | Terraform (HCL2)、Kubernetes (JSON/YAML)、Helm v3、Kustomize、Dockerfiles、CloudFormation | Apache License 2.0 |
| Trivy | 容器映像,基礎結構即程式碼 (IaC) | Apache License 2.0 |
必要條件
- Azure 訂閱 如果您沒有 Azure 訂閱,請在開始前建立免費帳戶。
- 連線 GitHub 存放庫。
- 請遵循指導來設定 GitHub 進階安全性,以在適用於雲端的 Defender 中檢視 DevOps 狀態評量。
- 在新視窗中開啟 Microsoft Security DevOps GitHub 動作。
- 確定在 GitHub 存放庫上將 [工作流程] 權限設定為 [讀取和寫入]。 這包括在 GitHub 工作流程中設定「id-token:寫入」權限,以與適用於雲端的 Defender 同盟。
設定 Microsoft 安全性 DevOps GitHub 動作
若要設定 GitHub 動作:
登入 GitHub。
選取您要用來設定 GitHub 動作的存放庫。
選取動作。
選取 [新增工作流程]。
在 [開始使用 GitHub Actions] 頁面上,選取 [自行設定工作流程]。
在文字方塊中,輸入工作流程檔案的名稱。 例如:
msdevopssec.yml。
複製下列的範例動作工作流程並將其貼到 [編輯新檔案] 索引標籤中。
選取 [開始認可]。
選取 [認可新檔案]。
選取 [動作],並確認新動作正在執行。
檢視掃描結果
若要檢視掃描結果:
- 登入 GitHub。
- 瀏覽至 [安全性]>[代碼掃描警示]>[工具]。
- 從下拉式功能表中,選取 [依工具篩選]。
程式碼掃描結果會依 GitHub 中的特定 MSDO 工具進行篩選。 這些程式碼掃描結果也會提取至適用於雲端的 Defender 建議。