Questions courantes sur la sécurité DevOps

Quand vous sélectionnez le bouton Autoriser, le compte avec lequel vous êtes connecté est utilisé. Ce compte peut avoir la même adresse e-mail, mais un tenant différent. Assurez-vous que la bonne combinaison compte/locataire est sélectionnée dans l’écran contextuel de consentement et dans Visual Studio.

Vous pouvez vérifier quel est le compte connecté.

L’intégration de la sécurité DevOps de Defender pour le cloud prend uniquement en charge le type de dépôt TfsGit. Le type de référentiel TFSVC n’est pas actuellement pris en charge.

Assurez-vous d’avoir intégré vos référentiels à Microsoft Defender pour le cloud. Si vous ne voyez toujours pas votre dépôt, vérifiez que vous êtes connecté avec le compte d’utilisateur d’organisation Azure DevOps correct. Votre abonnement Azure et votre organisation Azure DevOps doivent se trouver dans le même locataire. Si l’utilisateur du connecteur est incorrect, vous devez supprimer le connecteur qui a été créé, vous connecter avec le compte d’utilisateur approprié et recréer le connecteur.

Si vous ne voyez pas de fichier SARIF dans le chemin attendu, vous avez peut-être choisi un autre chemin de dépôt que CodeAnalysisLogs/msdo.sarif. Actuellement, vous devez placer vos fichiers SARIF dans CodeAnalysisLogs/msdo.sarif.

Lorsque vous utilisez la configuration de pipeline classique, veillez à ne pas modifier le nom de l’artefact. Cela peut entraîner le fait de ne pas voir les résultats de votre projet. Vous pouvez en savoir plus sur la façon de passer en revue vos découvertes.

Nous vous recommandons d’accéder au volet Sécurité DevOps pour obtenir une vue d’ensemble de votre posture de sécurité DevOps. Vous pouvez effectuer un tri et un filtrage en fonction de la ressource DevOps qui vous intéresse pour voir les détails de la recommandation.

Vous pouvez également utiliser le classeur DevOps, et le personnaliser en fonction de vos besoins.

Les fonctionnalités de sécurité DevOps se connectent à votre système de gestion de code source, par exemple Azure DevOps, GitHub et/ou GitLab, afin d’offrir une console centrale pour vos ressources et votre posture de sécurité DevOps. Les fonctionnalités de sécurité DevOps traitent et stockent les informations suivantes :

• Métadonnées sur vos systèmes de gestion du code source connectés et les dépôts associés. Ces données incluent des informations sur les utilisateurs, l’organisation et l’authentification.

• Résultats des analyses pour les recommandations et les détails.

Les fonctionnalités de sécurité DevOps font partie de Microsoft Defender pour le cloud. Consultez les conseils sur la résidence des données suivants et les détails relatifs à la limite des données de l’UE, en ce qui concerne le service Microsoft Defender pour le cloud.

Pour le moment, la sécurité DevOps ne traite pas et ne stocke pas votre code, vos builds et vos journaux d’audit. Toutefois, elle est susceptible de le faire à l’avenir, au fur et à mesure de l’extension de ses fonctionnalités.

En savoir plus sur la Déclaration de confidentialité Microsoft.

Ces autorisations sont nécessaires à certaines fonctionnalités de sécurité DevOps, par exemple les annotations de demande de tirage (pull request).

Pour le moment, les exemptions ne sont pas disponibles pour les recommandations de sécurité DevOps dans Microsoft Defender pour le cloud.

Vérifiez que vos connecteurs sont correctement autorisés.

Assurez-vous d’utiliser le même ID d’abonnement pour GHAzDO et Defender pour le cloud. Si vous ne parvenez toujours pas à voir les résultats, il est possible que le problème soit dû au fait que votre connecteur ADO ne dispose pas de l’étendue nécessaire. La sécurité DevOps a introduit de nouvelles étendues pour les connecteurs Azure DevOps en juin. Si vous avez créé le connecteur avant juin et que vous ne l’avez pas mis à jour, vous ne pourrez pas voir les résultats GHAzDO en raison d’une étendue manquante sur le connecteur. Vous devez créer un connecteur ADO qui inclut automatiquement les nouvelles étendues.

Vérifiez que les autorisations utilisateur pour Microsoft Defender pour DevOps ont Advanced Security: view alerts et Read définis sur Allow. Ces autorisations peuvent avoir changé si le bouton de sélection « Héritage » a été désactivé. Si les autorisations nécessaires sont définies sur Not set ou Deny, elles doivent être mises à jour manuellement vers Allow. Sinon, les résultats GHAzDO ne vont pas s’afficher dans les recommandations de Defender pour le cloud.

L’analyse est en cours de création actuellement.

Vérifiez que vous disposez d’un accès en écriture (propriétaire/contributeur) à l’abonnement. Si vous ne disposez pas de ce type d’accès aujourd’hui, vous pouvez l’obtenir en activant un rôle Microsoft Entra dans PIM.

Les langages suivants sont pris en charge par les fonctionnalités de sécurité DevOps :

• Python
• JavaScript
• TypeScript

Pour obtenir la liste des langages pris en charge par GitHub Advanced Security, rendez-vous ici.

Par exemple, puis-je effectuer une migration du connecteur de la région USA Centre vers la région Europe Ouest ?

Pour le moment, nous ne prenons pas en charge la migration automatique des connecteurs de sécurité DevOps d’une région à une autre.

Si vous souhaitez déplacer un connecteur DevOps vers une autre région, il est recommandé de supprimer le connecteur existant, puis de recréer ce connecteur dans la nouvelle région.

Oui, les appels d’API effectués par Defender pour le cloud comptent par rapport à la limite de consommation globale Azure DevOps. Defender pour le cloud effectue des appels pour le compte de l’utilisateur qui intègre le connecteur.

Si votre liste d’organisations est vide dans l’interface utilisateur après avoir intégré un connecteur Azure DevOps, vous devez vous assurer que l’organisation dans Azure DevOps est connectée à l’abonné Azure qui a l’utilisateur qui a authentifié le connecteur.

Pour plus d’informations sur la façon de corriger ce problème, consultez le guide de résolution des problèmes DevOps.

Oui, il n’existe aucune limite au nombre de référentiels Azure DevOps que vous pouvez intégrer pour les fonctionnalités de sécurité DevOps.

Toutefois, il existe deux main implications lors de l’intégration de grandes organisations : la vitesse et la limitation. La vitesse de découverte de vos dépôts DevOps est déterminée par le nombre de projets pour chaque connecteur (environ 100 projets par heure). Une limitation peut se produire, car les appels d’API Azure DevOps ont une limite de débit globale et nous limitons les appels pour la découverte de projet afin d’utiliser une petite partie des limites de quota globales.

Utilisez une autre identité Azure DevOps (autrement dit, un compte Administrateur d’organisation servant de compte de service) pour éviter la limitation des comptes individuels au moment de l’intégration de grandes organisations. Vous trouverez ci-dessous quelques scénarios permettant d’utiliser une autre identité pour intégrer un connecteur de sécurité DevOps :

• Grand nombre d’organisations et de projets Azure DevOps (environ 500 projets ou plus).
• Grand nombre de builds simultanées, avec un pic pendant les heures de travail.
• L’utilisateur autorisé est un utilisateur Power Platform qui effectue des appels d’API Azure DevOps supplémentaires, et atteint les quotas de limite de débit globale.

Une fois que vous avez intégré les référentiels Azure DevOps à l’aide de ce compte et configuré et exécuté l’extension Microsoft Security DevOps Azure DevOps dans votre pipeline CI/CD, les résultats de l’analyse s’affichent presque instantanément dans Microsoft Defender pour le cloud.

Étapes suivantes

En savoir plus sur la sécurité DevOps