Microsoft Security DevOps GitHub eylemini yapılandırma

Microsoft Security DevOps, statik analiz araçlarını geliştirme yaşam döngüsüyle tümleştiren bir komut satırı uygulamasıdır. Güvenlik DevOps, SDL, güvenlik ve uyumluluk araçları gibi statik çözümleme araçlarının en son sürümlerini yükler, yapılandırır ve çalıştırır. Güvenlik DevOps, birden çok ortamda belirleyici yürütmeyi sağlayan taşınabilir yapılandırmalarla veri odaklıdır.

Microsoft Güvenlik DevOps aşağıdaki Açık Kaynak araçlarını kullanır:

Adı	Dil	Lisans
Antimalware	Uç Nokta için Microsoft Defender karşı Windows'ta kötü amaçlı yazılımdan koruma, kötü amaçlı yazılım taraması yapar ve kötü amaçlı yazılım bulunursa derlemeyi bozar. Bu araç windows-latest aracıda varsayılan olarak tarar.	Açık Kaynak Değil
Haydut	Python	Apache Lisansı 2.0
BinSkim	İkili--Windows, ELF	MIT Lisansı
Checkov	Terraform, Terraform planı, CloudFormation, AWS SAM, Kubernetes, Helm grafikleri, Kustomize, Dockerfile, Sunucusuz, Bicep, OpenAPI, ARM	Apache Lisansı 2.0
ESlint	JavaScript	MIT Lisansı
Şablon Çözümleyicisi	ARM Şablonu, Bicep	MIT Lisansı
Terrascan	Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation	Apache Lisansı 2.0
Önemsiz	kapsayıcı görüntüleri, Kod Olarak Altyapı (IaC)	Apache Lisansı 2.0

Önkoşullar

• Azure aboneliği Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

• GitHub depolarınızı Bağlan.

• GitHub Gelişmiş Güvenliği'ni Bulut için Defender DevOps duruş değerlendirmelerini görüntülemek üzere ayarlamak için kılavuzu izleyin.

• Microsoft Security DevOps GitHub eylemini yeni bir pencerede açın.

• GitHub deposunda İş Akışı izinlerinin Okuma ve Yazma olarak ayarlandığından emin olun. Bu, Bulut için Defender ile federasyon için GitHub İş Akışı'nda "kimlik belirteci: yazma" izinlerini ayarlamayı içerir.

Microsoft Security DevOps GitHub eylemini yapılandırma

GitHub eylemini ayarlamak için:

1. GitHub'da oturum açma.

2. GitHub eylemini yapılandırmak istediğiniz bir depo seçin.

3. Eylemler'i seçin.

   

4. Yeni iş akışı'ı seçin.

5. GitHub Actions'ı kullanmaya başlama sayfasında, iş akışını kendiniz ayarla'yı seçin

   

6. Metin kutusuna iş akışı dosyanız için bir ad girin. Örneğin, msdevopssec.yml.

   

7. Aşağıdaki örnek eylem iş akışını kopyalayıp Yeni dosyayı düzenle sekmesine yapıştırın.

   name: MSDO
   on:
     push:
       branches:
         - master
   
   jobs:
     sample:
       name: Microsoft Security DevOps
   
       # MSDO runs on windows-latest.
       # ubuntu-latest also supported
       runs-on: windows-latest
   
       permissions:
         contents: read
         id-token: write
         actions: read
         security-events: write
   
       steps:
   
         # Checkout your code repository to scan
       - uses: actions/checkout@v3
   
         # Run analyzers
       - name: Run Microsoft Security DevOps Analysis
         uses: microsoft/security-devops-action@latest
         id: msdo
       # with:
         # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig').
         # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub.
         # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all.
         # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all.
         # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'.
   
         # Upload alerts to the Security tab
       - name: Upload alerts to Security tab
         uses: github/codeql-action/upload-sarif@v2
         with:
           sarif_file: ${{ steps.msdo.outputs.sarifFile }}
   
         # Upload alerts file as a workflow artifact
       - name: Upload alerts file as a workflow artifact
         uses: actions/upload-artifact@v3
         with:  
           name: alerts
           path: ${{ steps.msdo.outputs.sarifFile }}
   

   Not

   Ek araç yapılandırma seçenekleri ve yönergeleri için bkz . Microsoft Güvenlik DevOps wiki'si

8. İşlemeyi başlat'ı seçin

   

9. Yeni dosya işle'yi seçin.

   

   İşlemin tamamlanması bir dakika kadar sürebilir.

10. Eylemler'i seçin ve yeni eylemin çalıştığını doğrulayın.

    

Tarama Sonuçlarını Görüntüle

Tarama sonuçlarınızı görüntülemek için:

1. GitHub'da oturum açma.

2. Güvenlik>Kodu tarama uyarıları>Aracı'na gidin.

3. Açılan menüden Araclara göre filtrele'yi seçin.

Kod tarama bulguları GitHub'daki belirli MSDO araçlarına göre filtrelenir. Bu kod tarama sonuçları da Bulut için Defender önerilere alınır.

Daha fazla bilgi edinin

• Azure için GitHub eylemleri hakkında bilgi edinin.

• GitHub'dan Azure'a uygulama dağıtmayı öğrenin.

İlgili içerik

Bulut için Defender'da DevOps güvenliği hakkında daha fazla bilgi edinin.

GitHub Kuruluşlarınızı Bulut için Defender bağlamayı öğrenin.