适用于 Azure DevOps 的 GitHub 高级安全性提供全面的安全扫描功能,并提供精细的权限控制。 本文指导你配置安全警报的权限、管理访问级别,以及为高级安全 API 设置安全身份验证。
适用于 Azure DevOps 的 GitHub Advanced Security 可与 Azure Repos 配合使用。 若要将 GitHub 高级安全性与 GitHub 存储库配合使用,请参阅 GitHub 高级安全性。
先决条件
| 类别 | 要求 |
|---|---|
| 权限 | - 若要查看存储库的所有警报的摘要:存储库的 参与者 权限。 - 若要消除高级安全性中的警报: 项目管理员 权限。 - 若要管理高级安全性中的权限:需要成为 项目集合管理员 组的成员,或者将 高级安全性:管理设置 权限设置为 允许。 |
有关高级安全权限的详细信息,请参阅 “管理高级安全”权限。
权限定义
高级安全性引入了三个专用权限,用于控制对安全功能的访问:
| 许可 | DESCRIPTION | 用例 |
|---|---|---|
| 高级安全性:读取警报 | 查看安全警报、漏洞和扫描结果 | 安全分析师、审查代码的开发人员 |
| 高级安全性:管理和消除警报 | 消除误报,管理警报生命周期 | 安全工程师,首席开发人员 |
| 高级安全性:管理设置 | 启用/禁用高级安全功能选项(计费操作) | 项目管理员、安全经理 |
默认权限分配
| Azure DevOps 组 | 默认权限 |
|---|---|
| 供稿人 | 高级安全性:读取警报 |
| 项目管理员 | 高级安全性:读取警报、管理和消除警报 |
| 项目集合管理员 | 高级安全性:读取警报、管理和消除警报、管理设置 |
注释
只有具有“管理设置”权限的用户才能启用高级安全功能,这可能会产生计费费用。 授予此权限时请小心。
管理 Advanced Security 权限
可以自定义特定存储库的高级安全权限以满足安全要求。 如果需要根据团队成员的角色和职责向团队成员授予不同的访问权限级别,此作非常有用。
权限自定义的常见方案:
- 安全团队访问权限:向安全分析师授予完全权限
- 开发人员访问权限:为开发团队提供只读访问权限
- 符合性要求:将设置管理权限限制为授权人员
配置存储库特定的权限
如果禁用了权限下拉列表,请联系项目管理员,获取管理安全设置所需的权限。
调整特定存储库的权限:
选择 项目设置>存储库。
选择要调整其权限的特定存储库。
选择“安全”。
选择要调整其权限的安全组。
更改权限。 成功后,对号将在所选权限旁边显示。
高级安全 API 身份验证
使用 Microsoft Entra ID 令牌(建议)
Microsoft Entra ID 令牌是 用于访问 Azure DevOps API 的 GitHub 高级安全性的首选身份验证方法。 它们通过 OAuth 2.0 标准提供增强的安全性,并与企业标识系统无缝集成。
Microsoft Entra ID 身份验证的优点:
- 增强安全性:符合 OAuth 2.0 且自动刷新令牌
- 企业集成:对条件访问策略和多重身份验证的本机支持
- 审核和合规性:更好地跟踪和记录安全操作
- 最低特权访问:细化的范围控制与组织的安全策略保持一致
有关详细的实现指南,请参阅 azure DevOps Microsoft Entra 身份验证。
使用个人访问令牌
重要
我们建议使用更安全的Microsoft Entra 令牌,而不是高风险的个人访问令牌。 详细了解我们 减少 PAT 使用率的努力。 查看我们的 身份验证指南 ,以根据需要选择正确的身份验证机制。
可以使用个人访问令牌来使用 Advanced Security API。 有关详细信息,请参阅使用个人访问令牌。
Advanced Security 为 PAT 提供了三个额外的范围: read、read and write 和 read, write, and manage。