墨菲安全正式发布 murphysec 开源项目!让开发者更安全的使用开源代码

简介: 墨菲安全正式发布 murphysec 开源项目!让开发者更安全的使用开源代码

4 月 11 日,墨菲安全正式发布了其开源软件安全检测工具——murphysec 。据悉,该项目集合了易用、专业、创新等优势,意在帮助每一位开发者更安全的使用开源代码。

image.png

(开源地址:

https://github.com/murphysecu...

产品官网:

https://www.murphysec.com/

墨菲安全最早于 2020 年 5 月开始正式启动(当时该项目的初命名为 gokusec,由于该名字已经被业内公司所用,后改名为墨菲安全)。墨菲安全创始团队成员均来自百度、华为、贝壳的企业安全建设团队,团队成员多为企业安全建设和安全攻防研究相关工作的十年“老兵”,几乎每天都在和代码、漏洞打交道,有着丰富的“安全事件应急响应”、“漏洞分析”处理经验。

全新发布的 murphysec 项目通过对项目构建或直接对包管理文件进行解析,准确获取到项目的依赖信息,以此来满足使用不同语言/包管理工具的项目。项目的依赖信息会上传到服务端,并最终基于墨菲安全持续维护的漏洞知识库来识别项目中存在安全缺陷的依赖。

murphysec 项目的核心功能包括化验、看病、治疗“三位一体”,不仅能帮助开发者准确的识别软件中直接依赖和间接依赖的开源组件,还能准确识别这些开源组件存在的安全漏洞及许可证合规风险,并为开发者提供简单高效的一键缺陷修复能力。

功能方面,murphysec 项目支持漏洞检测、一键修复以及实时检测,可检测 Java(Maven)、JavaScript(npm)、Go 代码中引入的缺陷组件,不仅有清晰的修复方案,还可以通过此功能快速修复,即使代码的依赖发生变化导致了安全问题也不用担心,插件会及时给您提醒进行处理。

语言方面,murphysec 项目暂时仅支持 Java、JavaScript、Golang 、Python 语言项目的检测。后续,墨菲安全也会逐渐支持其他的开发语言,敬请期待。

目前,murphysec 项目可适用于如 GitLab 代码库检测工具、Jenkins 集成安全检测能力等更多场景。

近年来,随着开源技术的不断发展应用,软件供应链攻击问题威胁日趋严重。面临后疫情时代的全球科技创新发展新格局,软件供应链安全风险话题逐渐成为全球关注的焦点。

墨菲安全团队此次发布的全新 murphysec 项目,也正是在这个大背景下开始应运而生的。

相信大家都还记得发生在去年 12 月的 Log4j2 漏洞事件,当时直接引爆全球科技圈震动,业界也纷纷开始重视关于开源软件及生态安全治理相关措施。

该事件之后的今年3月份,墨菲安全实验室也连续2天对Spark&Hadoop RCE漏洞及 Spring Cloud 的表达式注入漏洞做了全球首发预警,与此同时,蚂蚁安全研究员对Spring 框架远程命令执行漏洞进行发现并预警。

这些都要得益于基于墨菲安全开源检测工具而开发的 IDE 插件 ——IDE 检测插件,它可帮助开发者在 IDE 中即可检测代码依赖的安全问题,轻松识别代码中使用了哪些存在安全缺陷的开源组件,通过准确的修复方案和一键修复功能,快速解决安全问题。

(插件官方地址:

https://plugins.jetbrains.com...

murphysec 项目:

具体安装步骤如下:

使用:

image.png

执行 murphysec scan [your-project-path]完成开始检测

查看结果:

  • 执行命令增加--json参数,可以将检测结果输出为 Json 格式进行查看
  • 也可以直接在墨菲安全平台上查看详细的检测结果

查看依赖信息:

image.png

  • 查看检测结果(提供处置建议、缺陷组件的最小修复版本以及丰富的漏洞信息)
相关文章
|
6月前
|
SQL NoSQL Linux
『GitHub项目圈选11』推荐5款本周 深受开发人员青睐 的开源项目
『GitHub项目圈选11』推荐5款本周 深受开发人员青睐 的开源项目
124 1
|
6月前
|
算法 前端开发 语音技术
推荐6款2023年爆火的开源项目,你值得一试!
推荐6款2023年爆火的开源项目,你值得一试!
推荐6款2023年爆火的开源项目,你值得一试!
|
JSON 供应链 安全
十年磨一剑,墨菲安全正式发布开源项目murphysec(一)
十年磨一剑,墨菲安全正式发布开源项目murphysec
十年磨一剑,墨菲安全正式发布开源项目murphysec(一)
|
安全 IDE jenkins
十年磨一剑,墨菲安全正式发布开源项目murphysec(二)
十年磨一剑,墨菲安全正式发布开源项目murphysec
十年磨一剑,墨菲安全正式发布开源项目murphysec(二)
|
Java 开发者
谷歌开源的代码评审规范,值得借鉴!
谷歌以前建立了一套通用的工程实战指南,它差不多囊括了所有编程语言与各种类型的项目。今天,谷歌将这一套代码评审(Code Review)规范开源了出来,它代表了谷歌最佳实战经验的集合。
243 0
谷歌开源的代码评审规范,值得借鉴!
|
存储 缓存 文件存储
|
消息中间件 运维 前端开发
做一个优秀的开源项目,需要注意哪些方面?
如果你想发布一个开源库,请确保它有以下特点: 清晰的依赖性和安装说明 至少有一个简要的文档指南 修改日志和仓库中的标签 关于支持的语言、运行时、工具版本的信息和项目的成熟度 一个可以让用户提问和交流的邮件列表 缺少任何一项都会造成一些用户的愤怒和沮丧,当然同时也浪费了时间。
352 0
|
Web App开发 监控 测试技术
C++开源代码项目汇总
Google的C++开源代码项目 v8  -  V8 JavaScript EngineV8 是 Google 的开源 JavaScript 引擎。V8 采用 C++ 编写,可在谷歌浏览器(来自 Google 的开源浏览器)中使用。
2586 0
|
Web App开发 Java Apache
|
项目管理 开发者