مشاركة عبر

تكوين إجراء Microsoft Security DevOps GitHub

  • مقالة

Microsoft Security DevOps هو تطبيق سطر أوامر يدمج أدوات التحليل الثابتة في دورة حياة التطوير. يقوم Security DevOps بتثبيت أحدث إصدارات أدوات التحليل الثابتة وتكوينها وتشغيلها مثل SDL وأدوات الأمان والتوافق. يعتمد Security DevOps على البيانات مع التكوينات المحمولة التي تمكن التنفيذ المحدد عبر بيئات متعددة.

يستخدم Microsoft Security DevOps أدوات المصدر المفتوح التالية:

الاسم اللغة‬ الترخيص
مكافحة البرامج الضارة الحماية من البرامج الضارة في Windows من Microsoft Defender لنقطة النهاية، التي تفحص بحثا عن البرامج الضارة وتكسر البنية إذا تم العثور على برامج ضارة. تقوم هذه الأداة بالمسح الضوئي بشكل افتراضي على أحدث عامل في windows. ليس مفتوح المصدر
قطاع الطرق Python ترخيص Apache 2.0
BinSkim Binary--Windows, ELF MIT License
Checkov Terraform، خطة Terraform، CloudFormation، AWS SAM، Kubernetes، Helm charts، Kustomize، Dockerfile، Serverless، Bicep، OpenAPI، ARM ترخيص Apache 2.0
ESlint JavaScript MIT License
محلل القالب قالب ARM، Bicep MIT License
Terrascan Terraform (HCL2)، Kubernetes (JSON/YAML)، Helm v3، Kustomize، Dockerfiles، CloudFormation ترخيص Apache 2.0
Trivy صور الحاوية، البنية الأساسية كتعليق برمجي (IaC) ترخيص Apache 2.0

المتطلبات الأساسية

تكوين إجراء Microsoft Security DevOps GitHub

لإعداد إجراء GitHub:

  1. قم بتسجيل الدخول إلى GitHub.

  2. حدد مستودعا تريد تكوين إجراء GitHub إليه.

  3. حدد الإجراءات.

    لقطة شاشة توضح لك مكان وجود زر الإجراءات.

  4. حدد سير عمل جديد.

  5. في صفحة بدء استخدام GitHub Actions، حدد إعداد سير عمل بنفسك

    لقطة شاشة توضح مكان تحديد زر سير العمل الجديد.

  6. في مربع النص، أدخل اسما لملف سير العمل. على سبيل المثال، msdevopssec.yml

    لقطة شاشة توضح لك مكان إدخال اسم لسير العمل الجديد.

  7. انسخ نموذج سير عمل الإجراء التالي والصقه في علامة التبويب تحرير ملف جديد.

    name: MSDO
on:
  push:
    branches:
      - main

jobs:
  sample:
    name: Microsoft Security DevOps

    # Windows and Linux agents are supported
    runs-on: windows-latest

    permissions:
      contents: read
      id-token: write
      actions: read
      # Write access for security-events is only required for customers looking for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS)
      security-events: write

    steps:

      # Checkout your code repository to scan
    - uses: actions/checkout@v3

      # Run analyzers
    - name: Run Microsoft Security DevOps
      uses: microsoft/security-devops-action@latest
      id: msdo
    # with:
      # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig').
      # policy: 'GitHub' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: GitHub.
      # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all.
      # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all.
      # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'.

      # Upload alerts to the Security tab - required for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS)
    # - name: Upload alerts to Security tab
    #  uses: github/codeql-action/upload-sarif@v3
    #  with:
    #    sarif_file: ${{ steps.msdo.outputs.sarifFile }}

      # Upload alerts file as a workflow artifact - required for MSDO results to appear in the codeQL security alerts tab on GitHub (Requires GHAS)
    # - name: Upload alerts file as a workflow artifact
    #  uses: actions/upload-artifact@v3
    #  with:  
    #    name: alerts
    #    path: ${{ steps.msdo.outputs.sarifFile }}

    إشعار

    للحصول على خيارات وإرشادات تكوين أداة إضافية، راجع موقع Wiki ل Microsoft Security DevOps

  8. حدد Start commit

    لقطة شاشة توضح لك مكان تحديد بدء التثبيت.

  9. حدد الالتزام بملف جديد. لاحظ أن العملية قد تستغرق ما يصل إلى دقيقة واحدة لإكمالها.

    لقطة شاشة توضح لك كيفية تثبيت ملف جديد.

  10. حدد Actions وتحقق من تشغيل الإجراء الجديد.

    لقطة شاشة توضح لك المكان الذي يمكنك الانتقال إليه، لمعرفة أن الإجراء الجديد قيد التشغيل.

عرض نتائج الفحص

لعرض نتائج الفحص:

  1. تسجيل الدخول إلى أزور.

  2. انتقل إلى Defender for Cloud > DevOps Security.

  3. من شفرة أمان DevOps، يجب أن تبدأ في رؤية نفس نتائج أمان MSDO التي يراها المطورون في سجلات CI الخاصة بهم في غضون دقائق للمستودع المرتبط. سيرى العملاء الذين لديهم GitHub Advanced Security النتائج التي تم تناولها من هذه الأدوات أيضا.

معرفة المزيد

الخطوات التالية

تعرف على المزيد حول أمان DevOps في Defender for Cloud.

تعرف على كيفية توصيل مؤسسات GitHub ب Defender for Cloud.