IDE 检测插件
一款基于墨菲安全开源检测工具而开发的 IDE 插件,帮助开发者在 IDE 中即可检测代码依赖的安全问题,轻松识别代码中使用了哪些存在安全缺陷的开源组件,通过准确的修复方案和一键修复功能,快速解决安全问题。
插件官方地址:https://plugins.jetbrains.com/plugin/18274-murphysec-code-scan
支持功能
漏洞检测:检测Java(Maven)、JavaScript(npm)、Go代码中引入的缺陷组件
一键修复:不仅有清晰的修复方案,还可以通过此功能快速修复
实时检测:代码的依赖发生变化导致了安全问题,不用担心,插件会及时给您提醒进行处理
安装
在 IDE 插件市场中搜索 “murphysec”,查看详情并安装
使用
选择“点击开始扫描”,即可检测出代码中存在哪些安全缺陷组件
点击检测结果中的组件,即可查看该缺陷组件的基本信息
点击右侧“一键修复”,即可直接将该组件升级至“最小修复版本
详细使用说明可以查看文档
更多的使用场景
一、GitLab 代码库检测工具
基于墨菲安全开源检测工具开发,可以帮助您快速对企业 GitLab 上所有项目进行检测
工具地址:https://github.com/murphysecurity/murphysec-gitlab-scanner
功能
自动化拉取 GitLab 上代码进行检测
支持增量代码检测(基于 GitLab Webhook 功能)
使用
拉取工具最新代码
执行命令 python3 scan_all.py -A [your gitlab address] -T [your gitlab token] -t [your murphysec token]
参数说明
-A:指定您的 GitLab 服务地址
-T:指定您的 GitLab 个人访问令牌
-t:指定您的墨菲安全账户访问令牌
二、Jenkins 集成安全检测能力
可以将墨菲安全开源检测工具集成到 Jenkins 中,提高线上代码安全质量
集成方式
1. 安装墨菲安全开源检测工具
在 Jenkins 机器上安装墨菲安全开源检测工具最新版本,访问 GitHub Releases 页面下载,或执行以下命令:
1、wget -q https://s.murphysec.com/install.sh -O - | /bin/bash
2. 设置 Jenkins 全局凭据
在 Jenkins 全局凭据中添加墨菲安全访问令牌
3. 修改Jenkinsfile
为了将墨菲安全开源检测工具添加到 pipeline,需要在 Jenkinsfile 中添加一个 stage,示例如下:
pipeline { agent none stages { stage('MurphySec Scan') { environment { API_TOKEN = credentials('murphysec-token-key') } steps { sh 'murphysec scan . --log-level debug' } } } }
