十年磨一剑,墨菲安全正式发布开源项目murphysec(一)

简介: 十年磨一剑,墨菲安全正式发布开源项目murphysec

先抛出两个问题


你们公司从超市买一桶水回去,喝之前会做检测吗?会担心水被人下毒吗?

你们公司的程序员从 GitHub 上 clone 一个开源项目或者组件,引入到线上项目代码中运行,你会担心有安全漏洞吗?会担心软件投毒吗?


开源技术的应用成为驱动新一轮产业数字化升级的核心动力


“迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。”


这是国家“十四五”规划中第五篇关于加快数字化发展,建设数字中国中明确提出的规划要求。软件应用作为构建数字化的必要基础元素,随着数字化变革的进程不断推进和深化,企业及社会组织对于供应链软件的需求日益提升,其中不管是开源软件还是闭源的商业软件开始被大量引入,而这些供应链软件引入的同时无疑给企业带来了越来越多的潜在安全威胁。


开源软件被企业大量引入


据统计,2020年较2015年开源项目数增长了近3倍,中国有超88%的企业在使用开源技术,开源代码占软件代码的比例已经从2015年的不到40%上升到19年的超过70%,大大提升了开发效率,加快了创新步伐。


软件供应链攻击成为国家、企业面临的主要威胁


开源技术应用、国际形势复杂、软件供应链的多样化,供应链各个环节的攻击急剧上升,软件供应链安全风险已然成为企业及组织的主要安全威胁。当前开源软件生产、分发、使用全过程缺乏有效的风险管理及生态治理能力,导致近几年全球范围内重大软件供应链安全事件频发,这无疑给企业稳定发展带来非常大的不确定性。

1.png

2020年12月,SolarWinds 公司软件更新包中存在后门导致客户被入侵,该事件影响了数千家机构,包括美国国家安全局和美国能源部。


2021年3月,一名研究员使用“供应链“漏洞(抢注内部组件名称的方式)成功入侵了 35 家重要公司的内部系统:包括 Microsoft、Apple、PayPal、Shopify、Netflix、Yelp、Tesla 和 Uber。


2021年12月,log4j2 漏洞爆发,墨菲安全实验室对 log4j2 的1~4层依赖关系进行了统计分析,可以发现总共有超过173104个组件受该漏洞影响。


2022年3月,墨菲安全实验室连续2天全球首发预警了 Spark&Hadoop RCE漏洞及 Spring Cloud 的表达式注入漏洞;紧接着之后蚂蚁安全研究员又发现 Spring 框架远程命令执行漏洞。


这些还只是影响非常大的事件和漏洞,除此之外每天新增曝出的通用组件漏洞都在数十起至数百起之间,这些都是企业所依赖的供应链软件所存在的潜在威胁。这背后我们看到的是和新冠病毒一样具备高传染性、致命性和变异能力的安全威胁,只不过的区别是新冠病毒影响的是人类的身体,而这些漏洞缺陷影响的是全球任何接入数字化的企业。


关于我们和墨菲安全


墨菲安全的创始团队成员都是来自百度、华为、贝壳的企业安全建设团队,过去十年大家一直在从事企业安全建设的工作,不管是在哪一家公司,我们每一个人都经历过太多次深夜的“安全事件应急响应”,“漏洞分析”。当然我们也时常和研发同学因为修一个漏洞而撕X,过去十年,三千多个日夜,每天几乎都在和代码和漏洞打交道。我们也很渴望每一个工程师生产的软件就像我们今天喝的矿泉水一样,安全而健康。我们不用战战兢兢的去为我们买的每一瓶水做“安全评估”。


软件供应链能不能像传统生产矿泉水的供应链一样安全有保障


让每一个开发都能够更安全的使用开源代码,让每一家企业都能够安全的管理软件供应链。是我们最初去做这件事情的想法,墨菲安全早期(大概2020年5月,启动这个开源项目的时候)其实有另外一个名字,叫 gokusec,后来我们发现这个名字好像被其他公司用了,所以改名墨菲安全。这个过程我们一直在思考的一个问题是:如何能够为软件供应链的生态建立一个有效治理的安全能力,我们能做点什么?


不知道大家有没有想过,如果新冠疫情爆发的时候,没有核酸检测这样的工具,后果会是怎么样?大概是我们无法及时发现谁得了新冠,身边的人也没办法及时有效的防控,患病者也无法得到及时有效的治疗,今天所建立的一切防控机制其实都是空谈。开源组件的应用非常广泛且具备非常复杂的依赖关系,这使得开源软件的漏洞其实就像新冠病毒一样, 具备强大的传染性、致命性、变异能力,而今天如果我们要对这些软件供应链里的新冠进行有效的控制,似乎我们首先最缺的是一款针对开源软件漏洞缺陷检测的核酸工具?它应该具备很好的准确性、易用性和低成本,而这就是墨菲安全推出的开源项目murphysec 的核心理念,为每一个软件开发者提供一款易用、专业且高效的代码安全检测工具,当然如果他还有特效药的作用,那就更棒了。


关于 murphysec


murphysec 是墨菲安全开发的一款开源软件安全检测工具,致力于让每一个开发者更安全的使用开源代码。


产品特点:易用、专业、创新


话都说到这了,那么,先上链接(欢迎提 issues、PR、star):

开源地址:https://github.com/murphysecurity/murphysec

产品官网:https://www.murphysec.com/


核心功能


1.化验:准确识别软件中直接依赖和间接依赖的开源组件

2.看病:准确识别这些开源组件存在的安全漏洞及许可证合规风险

3.治疗:为开发者提供简单高效的一键缺陷修复能力


支持语言:

目前支持 Java、JavaScript、Golang 、Python 语言项目的检测,后续会逐渐支持其他的开发语言。


检测原理


对于使用不同语言/包管理工具的项目,工具主要采用项目构建或直接对包管理文件进行解析的方式,来准确获取到项目的依赖信息

项目的依赖信息会上传到服务端,并基于墨菲安全持续维护的漏洞知识库来识别项目中存在安全缺陷的依赖

1.png

说明:工具只会将检测项目的依赖和基本信息发送到墨菲安全服务端,用于识别存在安全缺陷的依赖,不会上传任何本地代码。


安装


访问 GitHub Releases 页面下载最新版本的墨菲安全 CLI,或执行以下相关命令:

在 Linux 上安装

wget -q https://s.murphysec.com/install.sh -O - | /bin/bash

在 OSX 上安装

curl -fsSL https://s.murphysec.com/install.sh | /bin/bash

在 WINDOWS 上安装

powershell -Command "iwr -useb https://s.murphysec.com/install.ps1 | iex"


使用


执行 murphysec scan [your-project-path]完成开始检测

1.png


查看结果


执行命令增加–json参数,可以将检测结果输出为 Json 格式进行查看

也可以直接在墨菲安全平台上查看详细的检测结果

查看依赖信息

1.png

查看检测结果(提供处置建议、缺陷组件的最小修复版本以及丰富的漏洞信息)

1.png

相关文章
|
6月前
|
消息中间件 Cloud Native Java
AutoMQ 社区双周精选第十一期(2024.05.27~2024.06.12)
AutoMQ v1.0 追踪修复Apache Kafka 3.4.x多个BUG,提升CPU与GC性能。优化包括修复Raft线程异常、死锁及NPE问题,防止网络分区导致脑裂。Netty Chunk大小调整减少CPU使用,取消跨块分配策略以降低GC负担。此外,AutoBalancing的Reporter和Retriever现支持指定Listener Name进行安全配置。关注公众号获取更多社区更新,一起参与云原生消息中间件建设!
45 3
|
7月前
|
消息中间件 Cloud Native 调度
AutoMQ 社区双周精选第十期
AutoMQ 发布1.0.5版,更改默认日志滚动为大小滚动,限制日志空间在5GiB内,增强大规模对象删除性能。AutoBalancing调度加速,使用攒批间隔策略执行Action,每批对单一节点操作不超过50,批次间间隔5秒。
44 0
|
供应链 安全 大数据
叮~OpenSCA社区拍了拍您并发来一份开源盛会邀请函
8月10日,2023数字供应链安全大会将在北京隆重举行,我们在国家会议中心等你呦~ (报名参会方式请见文末)
71 0
叮~OpenSCA社区拍了拍您并发来一份开源盛会邀请函
|
安全 IDE jenkins
十年磨一剑,墨菲安全正式发布开源项目murphysec(二)
十年磨一剑,墨菲安全正式发布开源项目murphysec
十年磨一剑,墨菲安全正式发布开源项目murphysec(二)
|
JSON 安全 JavaScript
开源分享|速进!这些开源项目助你玩转世界杯
为了帮助大家找到更好的世界杯打开方式,OpenSCA项目组搜罗了一些与世界杯相关的开源项目。一起来看看吧~
220 0
开源分享|速进!这些开源项目助你玩转世界杯
EMQ
|
SQL 前端开发 安全
2022 开源之夏|EMQ 三大开源项目开发圆满收官
与新生力量共同打造高性能、高可用、高安全的世界级开源软件产品,服务人类未来产业与社会。
EMQ
207 0
2022 开源之夏|EMQ 三大开源项目开发圆满收官
|
供应链 安全 IDE
墨菲安全正式发布 murphysec 开源项目!让开发者更安全的使用开源代码
墨菲安全正式发布 murphysec 开源项目!让开发者更安全的使用开源代码
524 0
墨菲安全正式发布 murphysec 开源项目!让开发者更安全的使用开源代码
|
Web App开发 Rust JavaScript
魏永明:都打着开源协作的名义要共建,却又是山头林立搞内卷
魏永明:都打着开源协作的名义要共建,却又是山头林立搞内卷
300 0
|
设计模式 监控 Cloud Native
我不服!这开源项目居然才890个星!?(下)
我不服!这开源项目居然才890个星!?(下)
197 0
我不服!这开源项目居然才890个星!?(下)
|
架构师 Java 程序员
我不服!这开源项目居然才888个星!?(上)
我不服!这开源项目居然才888个星!?(上)
129 0
我不服!这开源项目居然才888个星!?(上)