Microsoft Security DevOps est une application en ligne de commande qui intègre des outils d’analyse statique dans le cycle de vie du développement. Microsoft Security DevOps installe, configure et exécute les dernières versions des outils d’analyse statique, notamment, mais sans s’y limiter, les outils SDL, de sécurité et de conformité. Microsoft Security DevOps est piloté par les données avec des configurations portables qui permettent une exécution déterministe dans plusieurs environnements.
Microsoft Security DevOps utilise les outils open source suivants :
Nom | Langage | Licence |
---|---|---|
AntiMalware | La protection contre les logiciels anti-programme malveillant, dans Windows de Microsoft Defender for Endpoint, analyse à la recherche de programmes malveillants et interrompt la génération si un programme malveillant a été détecté. Cet outil analyse par défaut le plus récent agent Windows. | Non open source |
Bandit | Python | Licence Apache 2.0 |
BinSkim | Binary--Windows, ELF | Licence MIT |
Checkov | Terraform, plan Terraform, CloudFormation, AWS SAM, Kubernetes, Helm charts, Kustomize, Dockerfile, Serverless, Bicep, OpenAPI, ARM | Licence Apache 2.0 |
ESlint | JavaScript | Licence MIT |
IaCFileScanner | Outil de mappage de modèles pour Terraform, CloudFormation, modèle ARM, Bicep | Non open source |
Template Analyzer | Modèle ARM, Bicep | Licence MIT |
Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormation | Licence Apache 2.0 |
Trivy | images conteneur, Infrastructure en tant que code (Infrastructure as Code, ou IaC) | Licence Apache 2.0 |
Remarque
Depuis le 20 septembre 2023, l’outil d’analyse des secrets (CredScan) dans l’extension Microsoft Security DevOps (MSDO) pour Azure DevOps est déconseillé. L’analyse des secrets MSDO est remplacée par GitHub Advanced Security pour Azure DevOps.