Szerkesztés

Megosztás a következőn keresztül:

A Microsoft Security DevOps Azure DevOps bővítmény konfigurálása

  • Használati útmutató

A Microsoft Security DevOps egy parancssori alkalmazás, amely a statikus elemzési eszközöket integrálja a fejlesztési életciklusba. A Microsoft Security DevOps telepíti, konfigurálja és futtatja a statikus elemzési eszközök legújabb verzióit (beleértve, de nem kizárólagosan az SDL/biztonsági és megfelelőségi eszközöket). A Microsoft Security DevOps olyan hordozható konfigurációkkal rendelkező adatvezérelt, amelyek több környezetben teszik lehetővé a determinisztikus végrehajtást.

A Microsoft Security DevOps a következő nyílt forráskódú eszközöket használja:

Név Nyelv Licenc
Kártevőirtó Kártevőirtó védelem a Windowsban a Végponthoz készült Microsoft Defender ellen, amely kártevőket keres, és megszakítja a buildet, ha kártevőt találtak. Ez az eszköz alapértelmezés szerint a Windows legújabb ügynökén vizsgálja. Nem nyílt forráskódú
Bandita Python Apache-licenc 2.0
BinSkim Bináris-Windows, ELF MIT-licenc
Checkov Terraform, Terraform-terv, CloudFormation, AWS SAM, Kubernetes, Helm-diagramok, Kustomize, Dockerfile, Kiszolgáló nélküli, Bicep, OpenAPI, ARM Apache-licenc 2.0
ESlint JavaScript MIT-licenc
IaCFileScanner Sablonleképezési eszköz a Terraformhoz, a CloudFormationhoz, az ARM-sablonhoz, a Bicep-hez Nem nyílt forráskódú
Sablonelemző ARM-sablon, Bicep MIT-licenc
Terrascan Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation Apache-licenc 2.0
Apróság tárolórendszerképek, infrastruktúra kódként (IaC) Apache-licenc 2.0

Feljegyzés

2023. szeptember 20-tól az Azure DevOpshoz készült Microsoft Security DevOps (MSDO) bővítmény titkos kulcskeresési (CredScan) eszköze elavult. Az MSDO-titkos kódok vizsgálata a GitHub Advanced Security for Azure DevOpsra lesz lecserélve.

Előfeltételek

  • A bővítmény telepítéséhez projektgyűjtemény-rendszergazdai jogosultságokra van szükség az Azure DevOps-szervezet számára.

Ha nem rendelkezik hozzáféréssel a bővítmény telepítéséhez, a telepítési folyamat során hozzáférést kell kérnie az Azure DevOps-szervezet rendszergazdájától.

A Microsoft Security DevOps Azure DevOps bővítmény konfigurálása

A Microsoft Security DevOps Azure DevOps bővítmény konfigurálása:

  1. Jelentkezzen be az Azure DevOpsba.

  2. Lépjen a Shopping Bag>Manage bővítményekre.

    Képernyőkép a bővítmények kezelésének képernyőjére való navigálásról.

  3. Válassza a Megosztott lehetőséget.

    Feljegyzés

    Ha már telepítette a Microsoft Security DevOps bővítményt, az megjelenik a Telepített lapon.

  4. Válassza a Microsoft Security DevOps lehetőséget.

    Képernyőkép a Microsoft Security DevOps kiválasztásáról.

  5. Válassza a Telepítés lehetőséget.

  6. Válassza ki a megfelelő szervezetet a legördülő menüből.

  7. Válassza a Telepítés lehetőséget.

  8. Válassza a Tovább a szervezetre lehetőséget.

Folyamatok konfigurálása YAML használatával

A folyamat konfigurálása YAML használatával:

  1. Bejelentkezés az Azure DevOpsba

  2. Válassza ki a projektet.

  3. Navigálás a folyamatokhoz

  4. Válassza a New pipeline (Új folyamat) lehetőséget.

    Képernyőkép arról, hogy hol található a létrehozási folyamat a DevOpsban.

  5. Válassza az Azure Repos Git lehetőséget.

    Képernyőkép arról, hogy hová kell navigálnia az Azure-adattár git kiválasztásához.

  6. Válassza ki a megfelelő adattárat.

    Képernyőkép az adattár kiválasztásának helyével.

  7. Válassza a Starter-folyamatot.

    A kezdőfolyamat kiválasztásának helyét bemutató képernyőkép.

  8. Illessze be a következő YAML-et a folyamatba:

    # Starter pipeline
# Start with a minimal pipeline that you can customize to build and deploy your code.
# Add steps that build, run tests, deploy, and more:
# https://aka.ms/yaml
trigger: none
pool:
  # ubuntu-latest also supported.
  vmImage: 'windows-latest'
steps:
- task: MicrosoftSecurityDevOps@1
  displayName: 'Microsoft Security DevOps'
  # inputs:    
    # config: string. Optional. A file path to an MSDO configuration file ('*.gdnconfig'). Vist the MSDO GitHub wiki linked below for additional configuration instructions
    # policy: 'azuredevops' | 'microsoft' | 'none'. Optional. The name of a well-known Microsoft policy to determine the tools/checks to run. If no configuration file or list of tools is provided, the policy may instruct MSDO which tools to run. Default: azuredevops.
    # categories: string. Optional. A comma-separated list of analyzer categories to run. Values: 'code', 'artifacts', 'IaC', 'containers'. Example: 'IaC, containers'. Defaults to all.
    # languages: string. Optional. A comma-separated list of languages to analyze. Example: 'javascript,typescript'. Defaults to all.
    # tools: string. Optional. A comma-separated list of analyzer tools to run. Values: 'bandit', 'binskim', 'checkov', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'. Example 'templateanalyzer, trivy'
    # break: boolean. Optional. If true, will fail this build step if any high severity level results are found. Default: false.
    # publish: boolean. Optional. If true, will publish the output SARIF results file to the chosen pipeline artifact. Default: true.
    # artifactName: string. Optional. The name of the pipeline artifact to publish the SARIF result file to. Default: CodeAnalysisLogs*.

    Feljegyzés

    A "CodeAnalysisLogs" artifactName szükséges a Felhőhöz készült Defender való integrációhoz. További eszközkonfigurációs beállítások és környezeti változók : Microsoft Security DevOps wiki

  9. A folyamat véglegesítéséhez válassza a Mentés és futtatás lehetőséget.

    A folyamat néhány percig fut, és menti az eredményeket.

    Feljegyzés

    Telepítse a SARIF SAST Scans Tab bővítményt az Azure DevOps-szervezeten, hogy a létrehozott elemzési eredmények automatikusan megjelenjenek a Vizsgálatok lapon.

Eredmények feltöltése külső biztonsági eszközökről a Felhőhöz készült Defender

Bár Felhőhöz készült Defender az MSDO CLI-t biztosítja a szabványosított funkciókhoz és szabályzatvezérlőkhöz nyílt forráskód biztonsági elemzők halmazában, rugalmasan tölthet fel más külső biztonsági eszközökből származó eredményeket, amelyeket a CI/CD-folyamatokban konfigurálhatott a Felhőhöz készült Defender az átfogó kód–felhő környezetualizációhoz. Az Felhőhöz készült Defender-be feltöltött összes találatnak szabványos SARIF formátumban kell lennie.

Először győződjön meg arról, hogy az Azure DevOps-adattárak Felhőhöz készült Defender vannak előkészítve. Miután sikeresen előkészítette Felhőhöz készült Defender, folyamatosan figyeli a "CodeAnalysisLogs" összetevőt a SARIF-kimenethez.

A "PublishBuildArtifacts@1" feladat használatával meggyőződhet arról, hogy a SARIF-kimenet a megfelelő összetevőben van közzétéve. Ha például egy biztonsági elemző kimenetet results.sarifad ki, konfigurálhatja a következő feladatot a feladatban, hogy az eredmények fel legyenek töltve Felhőhöz készült Defender:

- task: PublishBuildArtifacts@1
  inputs:
    PathtoPublish: 'results.sarif'
    ArtifactName: 'CodeAnalysisLogs'

Findings from third-party security tools will appear as 'Azure DevOps repositories should have code scanning findings resolved' assessments associated with the repository the security finding was identified in.

Kapcsolódó tartalom