Configurar a ação do GitHub do Microsoft Security DevOps

O Microsoft Security DevOps é um aplicativo de linha de comando que integra ferramentas de análise estática ao ciclo de vida de desenvolvimento. O Security DevOps instala, configura e executa as versões mais recentes das ferramentas de análise estática, como as ferramentas de conformidade, segurança e do SDL. O Security DevOps é orientado a dados com configurações portáteis que permitem a execução determinística em vários ambientes.

O Microsoft Security DevOps usa as seguintes ferramentas de código aberto:

Nome	Idioma	Licença
AntiMalware	Proteção AntiMalware no Windows a partir do Microsoft Defender para Ponto de Extremidade que examina por malware e interrompe a compilação se o malware for encontrado. Esta ferramenta faz a varredura por padrão no agente mais recente do Windows.	Sem código aberto
Bandit	Python	Licença do Apache 2.0
BinSkim	Binário--Windows, ELF	Licença MIT
Checkov	Terraform, plano Terraform, CloudFormation, AWS SAM, Kubernetes, gráficos Helm, Kustomize, Dockerfile, Sem servidor, Bicep, OpenAPI, ARM	Licença do Apache 2.0
ESlint	JavaScript	Licença MIT
Analisador de Modelos	Modelo do ARM, Bicep	Licença MIT
Terrascan	Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation	Licença do Apache 2.0
Trivy	imagens de contêiner, IaC (infraestrutura como código)	Licença do Apache 2.0

Pré-requisitos

• Uma assinatura do Azure. Caso não tenha uma assinatura do Azure, crie uma conta gratuita antes de começar.

• Conecte seus repositórios do GitHub.

• Siga as diretrizes para configurar o GitHub Advanced Security para exibir as avaliações de postura do DevOps no Defender para Nuvem.

• Abra a ação do GitHub do Microsoft Security DevOps em uma nova janela.

• Cerifique-se de que as Permissões de fluxo de trabalho estão definidas como Leitura e Gravação no repositório GitHub. Isso inclui a configuração de permissões "id-token: write" no fluxo de trabalho do GitHub para federação com o Defender for Cloud.

Configurar a ação do GitHub do Microsoft Security DevOps

Para configurar a ação do GitHub:

1. Entre no GitHub.

2. Selecione um repositório para o qual deseja configurar a ação do GitHub.

3. Selecione Ações.

   

4. Selecione Novo fluxo de trabalho.

5. Na página Introdução ao GitHub Actions, selecione configurar um fluxo de trabalho por conta própria

   

6. Na caixa de texto, digite um nome para seu arquivo de fluxo de trabalho. Por exemplo, msdevopssec.yml.

   

7. Copie e cole o exemplo de fluxo de trabalho de ação a seguir na guia Editar novo arquivo.

   name: MSDO
   on:
     push:
       branches:
         - master
   
   jobs:
     sample:
       name: Microsoft Security DevOps
   
       # MSDO runs on windows-latest.
       # ubuntu-latest also supported
       runs-on: windows-latest
   
       permissions:
         contents: read
         id-token: write
         actions: read
         security-events: write
   
       steps:
   
         # Checkout your code repository to scan
       - uses: actions/checkout@v3
   
         # Run analyzers
       - name: Run Microsoft Security DevOps Analysis
         uses: microsoft/security-devops-action@latest
         id: msdo
       # with:
         # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig').
         # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub.
         # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all.
         # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all.
         # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'.
   
         # Upload alerts to the Security tab
       - name: Upload alerts to Security tab
         uses: github/codeql-action/upload-sarif@v2
         with:
           sarif_file: ${{ steps.msdo.outputs.sarifFile }}
   
         # Upload alerts file as a workflow artifact
       - name: Upload alerts file as a workflow artifact
         uses: actions/upload-artifact@v3
         with:  
           name: alerts
           path: ${{ steps.msdo.outputs.sarifFile }}
   

   Observação

   Para obter opções e instruções adicionais de configuração de ferramentas, veja o wiki do Microsoft Security DevOps

8. Selecione Iniciar commit

   

9. Selecione Confirmar novo arquivo.

   

   O processo pode levar até um minuto para ser concluído.

10. Selecione Ações e verifique se a nova ação está em execução.

    

Exibir resultados da verificação

Para ver os resultados da verificação:

1. Entre no GitHub.

2. Navegue até Segurança>Alertas de verificação de código>Ferramenta.

3. No menu suspenso, selecione Filtrar por ferramenta.

As descobertas da verificação de código serão filtradas por ferramentas específicas do MSDO no GitHub. Esses resultados de verificação de código também são enviados para as recomendações do Defender para Nuvem.

Saiba mais

• Saiba mais sobre as Ações do GitHub para o Azure.

• Saiba como implantar aplicativos do GitHub no Azure.

Conteúdo relacionado

Saiba mais sobre a segurança do DevOps no Microsoft Defender para Nuvem.

Saiba como conectar suas organizações do GitHub ao Defender para Nuvem.