4 月 11 日,墨菲安全正式发布了其开源软件安全检测工具——murphysec 。据悉,该项目集合了易用、专业、创新等优势,意在帮助每一位开发者更安全的使用开源代码。
(开源地址:
https://github.com/murphysecurity/murphysec)
产品官网:
https://www.murphysec.com/
墨菲安全最早于 2020 年 5 月开始正式启动(当时该项目的初命名为 gokusec,由于该名字已经被业内公司所用,后改名为墨菲安全)。墨菲安全创始团队成员均来自百度、华为、贝壳的企业安全建设团队,团队成员多为企业安全建设和安全攻防研究相关工作的十年“老兵”,几乎每天都在和代码、漏洞打交道,有着丰富的“安全事件应急响应”、“漏洞分析”处理经验。
全新发布的 murphysec 项目通过对项目构建或直接对包管理文件进行解析,准确获取到项目的依赖信息,以此来满足使用不同语言/包管理工具的项目。项目的依赖信息会上传到服务端,并最终基于墨菲安全持续维护的漏洞知识库来识别项目中存在安全缺陷的依赖。
murphysec 项目的核心功能包括化验、看病、治疗“三位一体”,不仅能帮助开发者准确的识别软件中直接依赖和间接依赖的开源组件,还能准确识别这些开源组件存在的安全漏洞及许可证合规风险,并为开发者提供简单高效的一键缺陷修复能力。
功能方面,murphysec 项目支持漏洞检测、一键修复以及实时检测,可检测 Java(Maven)、JavaScript(npm)、Go 代码中引入的缺陷组件,不仅有清晰的修复方案,还可以通过此功能快速修复,即使代码的依赖发生变化导致了安全问题也不用担心,插件会及时给您提醒进行处理。
语言方面,murphysec 项目暂时仅支持 Java、JavaScript、Golang 、Python 语言项目的检测。后续,墨菲安全也会逐渐支持其他的开发语言,敬请期待。
目前,murphysec 项目可适用于如 GitLab 代码库检测工具、Jenkins 集成安全检测能力等更多场景。
近年来,随着开源技术的不断发展应用,软件供应链攻击问题威胁日趋严重。面临后疫情时代的全球科技创新发展新格局,软件供应链安全风险话题逐渐成为全球关注的焦点。
墨菲安全团队此次发布的全新 murphysec 项目,也正是在这个大背景下开始应运而生的。
相信大家都还记得发生在去年 12 月的 Log4j2 漏洞事件,当时直接引爆全球科技圈震动,业界也纷纷开始重视关于开源软件及生态安全治理相关措施。
该事件之后的今年3月份,墨菲安全实验室也连续2天对Spark&Hadoop RCE漏洞及 Spring Cloud 的表达式注入漏洞做了全球首发预警,与此同时,蚂蚁安全研究员对Spring 框架远程命令执行漏洞进行发现并预警。
这些都要得益于基于墨菲安全开源检测工具而开发的 IDE 插件 ——IDE 检测插件,它可帮助开发者在 IDE 中即可检测代码依赖的安全问题,轻松识别代码中使用了哪些存在安全缺陷的开源组件,通过准确的修复方案和一键修复功能,快速解决安全问题。
(插件官方地址:
https://plugins.jetbrains.com/plugin/18274-murphysec-code-scan)
murphysec 项目:
具体安装步骤如下:
- 访问 GitHub Releases 页面下载最新版本的墨菲安全 CLI,或执行以下相关命令:在 Linux 上安装
- wget -qhttps://s.murphysec.com/install.sh-O - | /bin/bash
在 OSX 上安装 - curl -fsSLhttps://s.murphysec.com/install.sh| /bin/bash
在 WINDOWS 上安装 - powershell -Command "iwr -usebhttps://s.murphysec.com/install.ps1| iex"
使用:
执行 murphysec scan [your-project-path]完成开始检测
查看结果:
- 执行命令增加--json参数,可以将检测结果输出为 Json 格式进行查看
- 也可以直接在墨菲安全平台上查看详细的检测结果
查看依赖信息:
- 查看检测结果(提供处置建议、缺陷组件的最小修复版本以及丰富的漏洞信息)
