4 月 11 日,墨菲平安正式公布了其开源软件平安检测工具——murphysec。据悉,该我的项目汇合了易用、业余、翻新等劣势,意在帮忙每一位开发者更平安的应用开源代码。
(开源地址:
https://github.com/murphysecu…)
产品官网:
https://www.murphysec.com/
墨菲平安最早于 2020 年 5 月开始正式启动(过后该项目标初命名为 gokusec,因为该名字曾经被业内公司所用,后改名为墨菲平安)。墨菲平安开创团队成员均来自百度、华为、贝壳的企业平安建设团队,团队成员多为企业平安建设和平安攻防钻研相干工作的十年“老兵”,简直每天都在和代码、破绽打交道,有着丰盛的“安全事件应急响应”、“破绽剖析”解决教训。
全新公布的 murphysec 我的项目通过对我的项目构建或间接对包管理文件进行解析,精确获取到我的项目的依赖信息,以此来满足应用不同语言 / 包管理工具的我的项目。我的项目的依赖信息会上传到服务端,并最终基于墨菲平安继续保护的破绽知识库来辨认我的项目中存在平安缺点的依赖。
murphysec 我的项目的外围性能包含化验、看病、医治“三位一体”,不仅能帮忙开发者精确的辨认软件中间接依赖和间接依赖的开源组件,还能精确辨认这些开源组件存在的安全漏洞及许可证合规危险,并为开发者提供简略高效的一键缺点修复能力。
性能方面,murphysec 我的项目反对破绽检测、一键修复以及实时检测,可检测 Java(Maven)、JavaScript(npm)、Go 代码中引入的缺点组件,不仅有清晰的修复计划,还能够通过此性能疾速修复,即便代码的依赖发生变化导致了平安问题也不必放心,插件会及时给您揭示进行解决。
语言方面,murphysec 我的项目临时仅反对 Java、JavaScript、Golang、Python 语言我的项目的检测。后续,墨菲平安也会逐步反对其余的开发语言,敬请期待。
目前,murphysec 我的项目可实用于如 GitLab 代码库检测工具、Jenkins 集成平安检测能力等更多场景。
近年来,随着开源技术的一直倒退利用,软件供应链攻打问题威逼日趋严重。面临后疫情时代的寰球科技翻新倒退新格局,软件供应链平安危险话题逐步成为寰球关注的焦点。
墨菲平安团队此次公布的全新 murphysec 我的项目,也正是在这个大背景下开始应运而生的。
置信大家都还记得产生在去年 12 月的 Log4j2 破绽事件,过后间接引爆寰球科技圈触动,业界也纷纷开始器重对于开源软件及生态平安治理相干措施。
该事件之后的往年 3 月份,墨菲平安实验室也间断 2 天对 Spark&Hadoop RCE 破绽及 Spring Cloud 的表达式注入破绽做了寰球首发预警,与此同时,蚂蚁平安研究员对 Spring 框架近程命令执行破绽进行发现并预警。
这些都要得益于基于墨菲平安开源检测工具而开发的 IDE 插件 ——IDE 检测插件,它可帮忙开发者在 IDE 中即可检测代码依赖的平安问题,轻松辨认代码中应用了哪些存在平安缺点的开源组件,通过精确的修复计划和一键修复性能,疾速解决平安问题。
(插件官网地址:
https://plugins.jetbrains.com…)
murphysec 我的项目:
具体装置步骤如下:
- 拜访 GitHub Releases 页面下载最新版本的墨菲平安 CLI,或执行以下相干命令:在 Linux 上装置
- wget -q https://s.murphysec.com/insta… -O – | /bin/bash
在 OSX 上装置 - curl -fsSL https://s.murphysec.com/insta… | /bin/bash
在 WINDOWS 上装置 - powershell -Command “iwr -useb https://s.murphysec.com/insta… | iex”
应用:
执行 murphysec scan [your-project-path] 实现开始检测
查看后果:
- 执行命令减少 –json 参数,能够将检测后果输入为 Json 格局进行查看
- 也能够间接在墨菲平安平台上查看具体的检测后果
查看依赖信息:
- 查看检测后果(提供处理倡议、缺点组件的最小修复版本以及丰盛的破绽信息)