Intégrer l’interface CLI de Defender for Cloud à des pipelines CI/CD
Article
L’interface de ligne de commande (CLI) de Defender for Cloud est une application que vous pouvez utiliser dans des pipelines d’intégration continue et livraison continue (CI/CD). Elle exécute les outils d’analyse statique et connecte du code aux services cloud. Vous pouvez utiliser l’interface CLI de Defender for Cloud dans n’importe quel processus de génération pour analyser les vulnérabilités de sécurité d’une image à l’aide de scanneurs de sécurité intégrés. Elle envoie les résultats d’analyse vers le portail Defender for Cloud. Le Cloud Security Explorer peut ensuite accéder à l’image conteneur et à ses vulnérabilités.
Prérequis
Un abonnement Azure avec Defender for Cloud intégré. Si vous n’avez pas encore de compte Azure, créez-en un gratuitement.
L’un des outils de pipeline CI/CD suivants : Jenkins, BitBucket Pipelines, Google Cloud Build, Bamboo, CircleCI, Travis CI, TeamCity, Oracle DevOps services, AWS CodeBuild
L’autorisation Administrateur de la sécurité pour créer le secret et l’ID client.
Programme d’installation
Dans les sections suivantes, nous expliquons comment récupérer les secrets et l’ID client, mettre à jour le script de pipeline CI/CD et ajouter des variables d’environnement au pipeline CI/CD.
Récupérer le jeton d’API
Pour pouvoir transmettre des données de sécurité de l’interface CLI de Defender for Cloud au back-end de Defender for Cloud, l’administrateur de la sécurité dans Defender for Cloud doit d’abord générer une clé API à partir de Defender for Cloud pour l’authentification.
Quand les jetons sont générés, l’administrateur de la sécurité sélectionne une étendue d’abonnement à associer au jeton. Les données faisant l’objet d’une transmission de type push « pushed » dans Defender for Cloud à partir de ce jeton sont étendues à l’abonnement auquel le jeton est associé. Ces jetons d’API sont immuables et peuvent uniquement être générés/supprimés.
À partir de là, l’administrateur de la sécurité peut transmettre en toute sécurité aux développeurs le jeton à ajouter au pipeline CI/CD.
Accédez à Microsoft Defender for Cloud>Gestion>Paramètres d’environnement>Intégrations.
Sélectionnez Ajouter une intégration, puis Ingestion DevOps.
Entrez un nom descriptif pour le jeton, le tenant sélectionné stocke les informations sur le jeton. La clé secrète client est générée lorsque vous entrez une description pour le secret et la date d’expiration.
Activez le jeton dans la Configuration, puis créez les jetons.
Copiez chaque jeton. Vous ne pouvez pas les modifier ni les récupérer après avoir sélectionné OK.
Dans la table Intégrations, la nouvelle Ingestion s’affiche.
Mettre à jour un script de pipeline CI/CD
Chaque outil de pipeline CI/CD a une syntaxe différente. Ce code est un exemple de pipeline Bitbucket :
Après avoir reçu les jetons en toute sécurité, le développeur doit configurer une variable d’environnement pour la clé. La variable d’environnement est transmise à l’interface CLI via le script de l’interpréteur de commandes que le développeur peut recevoir à partir de Curl ou en copiant manuellement le script de l’interpréteur de commandes dans son référentiel.
Cette certification mesure votre capacité à réaliser les tâches techniques suivantes : Concevoir et implémenter des processus et des communications, concevoir et implémenter une stratégie de contrôle de code source, concevoir et implémenter des pipelines de build et de mise en production, développer un plan de sécurité et de conformité et implémenter une stratégie d’instrumentation.