Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A integração do GitHub Advanced Security (GHAS) ao Microsoft Defender para Nuvem vincula seu código-fonte às workloads em execução na nuvem e vice-versa, para que as equipes de segurança possam priorizar as vulnerabilidades que realmente atingem a produção e as equipes de engenharia possam corrigi-las sem sair do GitHub.
Use essa integração para:
Rastrear vulnerabilidades de runtime de volta ao repositório de origem e ao proprietário do código.
Priorize correções com base na implantação de código, exposição em produção e risco de tempo de execução.
Coordene a correção entre GitHub repositórios de código e ambientes de nuvem com contexto e status compartilhados.
Acelere as correções com a remediação com tecnologia de IA (Copilot).
Essa visão geral explica como a integração funciona e ajuda você a entender seus principais recursos antes da implantação.
Disponibilidade e pré-requisitos
Confirme o seguinte antes de iniciar:
| Categoria | Detalhes |
|---|---|
| Requisitos ambientais | - Conta do GitHub com um conector criado no Defender para Nuvem - Licença do GHAS - Gestão de Postura de Segurança na Nuvem do Defender (DCSPM) habilitada na assinatura - Microsoft Security Copilot (opcional para correção automatizada) |
| Funções e permissões | - Permissões de administrador de segurança – Administrador de segurança na assinatura Azure (para exibir as descobertas no Defender para Nuvem) – Proprietário da organização do GitHub |
| Ambientes de nuvem | - Disponível somente em nuvens comerciais (não no Azure Governamental, no Azure operado pela 21Vianet ou em outras nuvens soberanas) |
Personas e pontos de dor
Fluxos principais
Principais recursos
Mapeamento automático de código para tempo de execução
Quando você conecta sua organização ou repositório GitHub a Microsoft Defender para Nuvem por meio do conector GitHub, o sistema mapeia automaticamente os repositórios de origem para a execução de cargas de trabalho na nuvem. Ele usa Defender para Nuvem métodos proprietários de código para runtime para garantir que cada carga de trabalho seja rastreada até seu repositório de origem (e vice-versa).
Essa funcionalidade oferece visibilidade instantânea de ponta a ponta, para que você saiba qual código impulsiona cada aplicativo implantado e quais cargas de trabalho em contêiner estão mapeadas para o respectivo repositório de código-fonte, sem a necessidade de mapeamento manual demorado.
Priorização de alertas com reconhecimento de produção
Corte os alertas de segurança barulhentos e concentre-se em vulnerabilidades que realmente importam.
As descobertas de segurança do GHAS no GitHub são priorizadas pelo contexto de tempo de execução real do Defender para Nuvem. Eles destacam fatores de risco de runtime , como Exposição à Internet, Dados Confidenciais, Recursos Críticos e Movimentação Lateral. Esses fatores de risco vêm da análise de caminho de ataque de GPSN do Defender:
- Exposição à Internet – carga de trabalho acessível da Internet pública
- Dados Confidenciais – a carga de trabalho manipula dados regulamentados ou confidenciais
- Recursos Críticos – carga de trabalho marcada ou classificada como comercialmente crítica
- Movimento Lateral – a carga de trabalho fica em um caminho pelo qual um invasor pode percorrer
Esses riscos, identificados em cargas de trabalho de runtime, são vinculados dinamicamente aos repositórios de código dessas cargas de trabalho de origem e aos artefatos de build específicos em GitHub.
Você pode filtrar, fazer triagem e agir apenas em questões de segurança que têm impacto real na produção em Defender para Nuvem e GitHub. Essa capacidade ajuda sua equipe a se manter eficiente e manter seus aplicativos mais importantes seguros.
Na prática
Uma imagem de contêiner criada a partir do repositório contoso/payments-api é implantada no AKS. Defender para Nuvem detecta a exposição à Internet mais o tratamento de dados confidenciais na carga de trabalho. O CVE dentro da imagem é automaticamente elevado a Crítico na guia de segurança do GitHub e um problema de GitHub de um clique é atribuído aos CODEOWNERS do repositório com tempo de execução completo e contexto SDLC anexados.
Correção unificada orientada por IA
Faça a ponte entre as equipes de segurança e engenharia com fluxos de trabalho integrados e contexto relevante.
No Defender para Nuvem, os gerentes de segurança podem ver quais problemas de segurança a equipe de engenharia já conhece, juntamente com o status desses problemas. Os gerentes de segurança abrem esta exibição selecionando o link "View on GitHub".
Os gerentes de segurança podem atribuir recomendações de segurança para resolução às equipes de engenharia relevantes gerando uma atribuição de problema do GitHub.
A atribuição é gerada no repositório de origem. Ele fornece informações de tempo de execução e contexto para facilitar a solução de engenharia.
Os gerentes de engenharia podem atribuir um problema a um desenvolvedor para maior resolução. O cessionário pode usar um agente de codificação Copilot para correções automáticas com tecnologia de IA.
As equipes do AppSec podem usar fatores de risco de runtime como parte das descobertas do GHAS, concentrando o trabalho de engenharia em descobertas associadas ao código que é verdadeiramente implantado e em execução.
Esses filtros podem ser usados para filtrar alertas GHAS diretamente ou usados para a priorização contínua e agendada por meio de campanhas.
Correções de problemas do GitHub, progresso e avanços de campanha são acompanhados em tempo real. Os status são refletidos no GitHub e no Defender para Nuvem.
Essa abordagem garante que as correções sejam entregues rapidamente, crie uma responsabilidade clara e simplifica a colaboração. Todos esses benefícios ocorrem dentro das ferramentas que suas equipes já usam.