Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Security DevOps är ett kommandoradsprogram som integrerar statiska analysverktyg i utvecklingslivscykeln. Microsoft Security DevOps installerar, konfigurerar och kör de senaste versionerna av statiska analysverktyg (inklusive, men inte begränsat till, SDL/säkerhets- och efterlevnadsverktyg). Microsoft Security DevOps är datadriven med portabla konfigurationer som möjliggör deterministisk körning i flera miljöer.
Microsoft Security DevOps använder följande verktyg med öppen källkod:
| Name | Språk | Licens |
|---|---|---|
| Program mot skadlig kod | Skydd mot skadlig kod i Windows från Microsoft Defender za krajnju tačku, som söker efter skadlig kod och bryter bygget om skadlig kod har hittats. Det här verktyget genomsöker som standard den senaste Windows-agenten. | Inte öppen källkod |
| Bandit | Python | Apache License 2.0 |
| BinSkim | Binärt – Windows, ELF | MIT-licens |
| Checkov | Terraform, Terraform-plan, CloudFormation, AWS SAM, Kubernetes, Helm-diagram, Kustomize, Dockerfile, Serverless, Bicep, OpenAPI, ARM | Apache License 2.0 |
| ESlint | JavaScript | MIT-licens |
| IaCFileScanner | Mallmappningsverktyg för Terraform, CloudFormation, ARM-mall, Bicep | Inte öppen källkod |
| Mallanalys | ARM-mall, Bicep | MIT-licens |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Apache License 2.0 |
| Trivy | containeravbildningar, Infrastruktur som kod (IaC) | Apache License 2.0 |
Kommentar
Från och med den 20 september 2023 har verktyget för genomsökning av hemligheter (CredScan) i MSDO-tillägget (Microsoft Security DevOps) för Azure DevOps upphört att gälla. Genomsökning av MSDO-hemligheter ersätts med GitHub Advanced Security för Azure DevOps.
Förutsättningar
- Administratörsbehörigheter för projektsamling till Azure DevOps-organisationen krävs för att installera tillägget.
Om du inte har åtkomst till att installera tillägget måste du begära åtkomst från din Azure DevOps-organisations administratör under installationsprocessen.
Konfigurera Microsoft Security DevOps Azure DevOps-tillägget
Så här konfigurerar du Microsoft Security DevOps Azure DevOps-tillägget:
Logga in på Azure DevOps.
Gå till Shopping Bag>Hantera tillägg.
Välj Delat.
Kommentar
Om du redan har installerat Tillägget Microsoft Security DevOps visas det på fliken Installerad.
Välj Microsoft Security DevOps.
Välj Installera.
Välj lämplig organisation på den nedrullningsbara menyn.
Välj Installera.
Välj Fortsätt till organisation.
Konfigurera dina pipelines med YAML
Så här konfigurerar du din pipeline med YAML:
Logga in på Azure DevOps
Välj ditt projekt.
Gå till Pipelines
Välj Ny pipeline.
Välj Azure Repos Git.
Välj relevant lagringsplats.
Välj Startpipeline.
Klistra in följande YAML i pipelinen:
# Starter pipeline # Start with a minimal pipeline that you can customize to build and deploy your code. # Add steps that build, run tests, deploy, and more: # https://aka.ms/yaml trigger: none pool: # ubuntu-latest also supported. vmImage: 'windows-latest' steps: - task: MicrosoftSecurityDevOps@1 displayName: 'Microsoft Security DevOps' # inputs: # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig'). Vist the MSDO GitHub wiki linked below for additional configuration instructions # policy: 'azuredevops' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy to determine the tools/checks to run. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: azuredevops. # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all. # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all. # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'. Example 'templateanalyzer, trivy' # break: boolean. Optional. If true, will fail this build step if any high severity level results are found. Default: false. # publish: boolean. Optional. If true, will publish the output SARIF results file to the chosen pipeline artifact. Default: true. # artifactName: string. Optional. The name of the pipeline artifact to publish the SARIF result file to. Default: CodeAnalysisLogs*.Kommentar
ArtifactName "CodeAnalysisLogs" krävs för integrering med Defender för molnet. Ytterligare konfigurationsalternativ för verktyg och miljövariabler finns i Wikin för Microsoft Security DevOps
Om du vill checka in pipelinen väljer du Spara och kör.
Pipelinen körs i några minuter och sparar resultatet.
Kommentar
Installera SARIF SAST Scans Tab-tillägget i Azure DevOps-organisationen för att säkerställa att de genererade analysresultaten visas automatiskt under fliken Genomsökningar.
Ladda upp resultat från säkerhetsverktyg från tredje part till Defender for Cloud
Defender for Cloud tillhandahåller MSDO CLI för standardiserade funktioner och principkontroller i en uppsättning säkerhetsanalysverktyg med öppen källkod, men du har flexibiliteten att ladda upp resultat från andra säkerhetsverktyg från tredje part som du kanske har konfigurerat i CI/CD-pipelines till Defender for Cloud för omfattande kod-till-moln-kontextualisering. Alla resultat som laddas upp till Defender för molnet måste vara i standard-SARIF-format.
Kontrollera först att dina Azure DevOps-lagringsplatser är registrerade i Defender för molnet. När du har registrerat Defender för molnet övervakar den kontinuerligt artefakten "CodeAnalysisLogs" för SARIF-utdata.
Du kan använda uppgiften "PublishBuildArtifacts@1" för att se till att SARIF-utdata publiceras till rätt artefakt. Om en säkerhetsanalys till exempel matar ut results.sarifkan du konfigurera följande uppgift i jobbet för att säkerställa att resultaten laddas upp till Defender för molnet:
- task: PublishBuildArtifacts@1
inputs:
PathtoPublish: 'results.sarif'
ArtifactName: 'CodeAnalysisLogs'
Findings from third-party security tools will appear as 'Azure DevOps repositories should have code scanning findings resolved' assessments associated with the repository the security finding was identified in.