Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GitHub Advanced Security (GHAS)-Integration mit Microsoft Defender for Cloud verknüpft Ihren Quellcode mit Ihren ausgeführten Cloudworkloads und umgekehrt – sodass Sicherheitsteams die Sicherheitsrisiken priorisieren können, die tatsächlich zu Produktion gelangen, und Entwicklungsteams können sie beheben, ohne GitHub zu verlassen.
Verwenden Sie diese Integration für Folgendes:
Rückverfolgung von Laufzeitsicherheitsanfälligkeiten bis zum ursprünglichen Repository und Codeeigentümer.
Priorisieren Sie Korrekturen basierend auf Codebereitstellung, Produktionsexposition und Laufzeitrisiko.
Koordinieren Sie Problemlösungen in GitHub-Repositories und Cloud-Umgebungen mit gemeinsamem Kontext und Status.
Beschleunigen Sie die Behebung mit KI-gestützten Maßnahmen (Copilot).
In dieser Übersicht wird erläutert, wie die Integration funktioniert und Ihnen hilft, ihre Kernfunktionen vor der Bereitstellung zu verstehen.
Verfügbarkeit und Voraussetzungen
Bestätigen Sie Folgendes, bevor Sie das Onboarding ausführen:
| Kategorie | Detaildaten |
|---|---|
| Umweltanforderungen | - GitHub Konto mit einem in Defender for Cloud erstellten Connector - GHAS-Lizenz - Defender Cloud Security Posture Management (DCSPM) für das Abonnement aktiviert - Microsoft Security Copilot (optional für automatisierte Korrekturen) |
| Rollen und Berechtigungen | – Berechtigungen für Sicherheitsadministratoren – Sicherheitsadministrator für das Azure-Abonnement (zum Anzeigen von Ergebnissen in Defender for Cloud) - GitHub-Organisationsbesitzer |
| Cloudumgebungen | – Nur in kommerziellen Clouds verfügbar (nicht in Azure Government, Azure, betrieben von 21Vianet oder anderen souveränen Clouds) |
Personas und Problembereiche
Hauptflüsse
Hauptfunktionen
Automatische Code-zu-Laufzeit-Zuordnung
Wenn Sie Ihre GitHub Organisation oder Ihr Repository über GitHub Connector mit Microsoft Defender for Cloud verbinden, ordnet das System Quellrepositorys automatisch der Ausführung von Cloudworkloads zu. Es verwendet proprietäre Defender für Cloud Code-zu-Laufzeit-Methoden, um zu gewährleisten, dass jede Workload bis zu ihrem Ursprungs-Repository nachverfolgt wird (und umgekehrt).
Mit dieser Fähigkeit erhalten Sie sofortige End-to-End-Sichtbarkeit, wodurch Sie wissen, welcher Code jede bereitgestellte Anwendung antreibt und wie die ausgeführten containerisierten Workloads mit den Quellcode-Repositories verknüpft sind, ohne zeitaufwendige manuelle Zuordnung.
Produktionsbewusste Alarmpriorisierung
Reduzieren Sie laute Sicherheitswarnungen, und konzentrieren Sie sich auf Sicherheitsrisiken, die wirklich wichtig sind.
GHAS-Sicherheitsergebnisse in GitHub werden nach realem Laufzeitkontext von Defender für Cloud priorisiert. Sie heben Laufzeitrisikofaktoren wie Internetexposition, vertrauliche Daten, kritische Ressourcen und Lateral Movement hervor. Diese Risikofaktoren stammen aus der Angriffspfadanalyse Defender CSPM:
- Internet-Gefährdung – Workload, das vom öffentlichen Internet aus zugänglich ist
- Vertrauliche Daten – Workload behandelt regulierte oder vertrauliche Daten
- Kritische Ressourcen – Arbeitsbelastung als geschäftskritisch markiert oder klassifiziert
- Lateral Movement – Workload befindet sich auf einem Pfad, über den ein Angreifer pivotieren kann
Diese Risiken, die in den Laufzeiten von Workloads identifiziert werden, sind dynamisch mit den Quell-Coderepositories der Workloads und den spezifischen Build-Artefakten in GitHub verbunden.
Sie können nur Sicherheitsprobleme filtern, triagen und auf diese reagieren, die tatsächliche Auswirkungen auf die Produktion sowohl in Defender for Cloud als auch auf GitHub haben. Diese Fähigkeit hilft Ihrem Team dabei, effizient zu bleiben und Ihre wichtigsten Anwendungen sicher zu halten.
In der Praxis
Ein Container-Image, das aus dem Repository "contoso/payments-api" erstellt wurde, wird im Azure Kubernetes Service (AKS) bereitgestellt. Defender for Cloud erkennt die Internetexposition sowie die Verarbeitung vertraulicher Daten auf der Arbeitsauslastung. Das CVE innerhalb des Images wird im Sicherheitstab von GitHub automatisch als kritisch eingestuft, und ein Ein-Klick-GitHub-Issue wird den CODEOWNERS des Repositorys mit vollständigem Laufzeit- und SDLC-Kontext zugewiesen.
Einheitliche KI-gesteuerte Korrektur
Schließen Sie die Lücke zwischen Sicherheits- und Ingenieurteams mit integrierten Workflows und relevanten Kontexten.
In Defender für Cloud können Sicherheitsmanager sehen, welche Sicherheitsprobleme das Entwicklungsteam bereits kennt, zusammen mit dem Status dieser Probleme. Sicherheitsmanager öffnen diese Ansicht, indem Sie den Link "Ansicht auf GitHub" auswählen.
Sicherheitsmanager können den relevanten Entwicklungsteams Sicherheitsempfehlungen zuweisen, indem sie eine GitHub-Problemzuweisung generieren.
Die Zuweisung wird im Ursprungs-Repository generiert. Es stellt Laufzeitinformationen und Kontext bereit, um den Engineering-Fix zu erleichtern.
Engineering-Manager können einem Entwickler ein Problem zur weiteren Lösung zuweisen. Der Nutzer kann einen Copilot Coding Agent für KI-gestützte automatische Korrekturen verwenden.
AppSec-Teams können Laufzeitrisikofaktoren als Teil der GHAS-Ergebnisse verwenden, wobei sich die Technischen Arbeiten auf Erkenntnissen konzentrieren, die mit Code verbunden sind, der wirklich bereitgestellt und ausgeführt wird.
Diese Filter können verwendet werden, um GHAS-Warnungen direkt zu filtern oder für die kontinuierliche, kampagnenbasierte Priorisierung zu verwenden.
GitHub-Problembehebungen, Fortschritts- und Kampagnenfortschritte werden in Echtzeit nachverfolgt. Die Status werden sowohl in GitHub als auch in Defender für Cloud wiedergegeben.
Dieser Ansatz stellt sicher, dass Korrekturen schnell bereitgestellt werden, eine klare Verantwortlichkeit schaffen und die Zusammenarbeit vereinfacht. All diese Vorteile treten in den Tools auf, die Ihre Teams bereits verwenden.