REDPIXEL - stock.adobe.com
Microsoft Build 2021: Security von Anfang an berücksichtigen
Security- und Entwicklerteams müssen immer enger zusammenarbeiten. Auf der Build kündigt Microsoft Tools für die frühe Berücksichtigung von Security in der Entwicklung an.
Auf der Entwicklerkonferenz Build 2021 zeigt Microsoft die Integration vom Azure Security Center mit GitHub Actions als Vorabversion. Das Azure Security Center (ASC) kann künftig Ergebnisse von Container-Scans anzeigen, so dass IT-Teams Security und Compliance in frühe Phasen der Softwareentwicklung berücksichtigen können. Diese Funktion soll Entwicklern eine durchgängige Nachvollziehbarkeit erlauben. Dies verkürze die Zeit, die Teams für die Behebung von Problemen benötigen würden.
Nach Angaben von Microsoft sei dies der Anfang vom Aufbau entsprechender Tools, so dass Security-Teams einen besseren Einblick erhalten für die Quelle anfälliger Container-Images. Dies beinhaltet auch und Worklflows und Repositories, aus denen die Images stammen. Diese engere Verbindung von ASC und GitHub, soll es DevSecOps-Teams erlauben Schwachstellenscans durchzuführen und deren Ergebnisse in Fehlerbehebungen umzusetzen. Zudem ließe sich die Security-Situation von Workflows so innerhalb der CI/CD-Pipeline visualisieren.
Die CI/CD-Schwachstellenscans von Container-Images sollen dabei helfen, die Transparenz und Kontrolle verbessern, durch die Bereitstellung von Bewertungen für das Azure Security Center. Durch die Scanbewertungen im Azure Security Center würden Security-Teams eine ganzheitliche Ansicht auf die CI/CD-Pipelines und Laufzeitressourcen erhalten.
Künftig soll jeder Workflow, der ein Container-Image ohne Scanbewertung verwendet, den Anwender mit einer Empfehlung durch das ASC warnen. Jede Empfehlung des Azure Security Centers enthalte Details zu den betroffenen Ressourcen. Dazu gehören Vorschläge, wie sich die Probleme beheben lassen und Schritte wie sich ein sicherer Zustand erreichen lässt.
Die Integration von Azure Security Center mit GitHub ist als Public Preview für die Azure Cloud verfügbar. In der dazugehörigen Dokumentation wird erklärt, wie die entsprechenden Container-Images mit dem integrierten Schwachstellenscanner untersucht werden können. Mehr Informationen zur Integration von Azure Security Center und GitHub finden sich zudem in einem Blogbeitrag. Die Entwicklerkonferenz Microsoft Build findet bis zum 27. Mai als rein virtuelles Event statt.