4 月 11 日,墨菲安全正式釋出了其開源軟體安全檢測工具——murphysec 。據悉,該專案集合了易用、專業、創新等優勢,意在幫助每一位開發者更安全的使用開原始碼。
(開源地址:
https://github.com/murphysecu...)
產品官網:
https://www.murphysec.com/
墨菲安全最早於 2020 年 5 月開始正式啟動(當時該專案的初命名為 gokusec,由於該名字已經被業內公司所用,後改名為墨菲安全)。墨菲安全創始團隊成員均來自百度、華為、貝殼的企業安全建設團隊,團隊成員多為企業安全建設和安全攻防研究相關工作的十年“老兵”,幾乎每天都在和程式碼、漏洞打交道,有著豐富的“安全事件應急響應”、“漏洞分析”處理經驗。
全新發布的 murphysec 專案通過對專案構建或直接對包管理檔案進行解析,準確獲取到專案的依賴資訊,以此來滿足使用不同語言/包管理工具的專案。專案的依賴資訊會上傳到服務端,並最終基於墨菲安全持續維護的漏洞知識庫來識別專案中存在安全缺陷的依賴。
murphysec 專案的核心功能包括化驗、看病、治療“三位一體”,不僅能幫助開發者準確的識別軟體中直接依賴和間接依賴的開源元件,還能準確識別這些開源元件存在的安全漏洞及許可證合規風險,併為開發者提供簡單高效的一鍵缺陷修復能力。
功能方面,murphysec 專案支援漏洞檢測、一鍵修復以及實時檢測,可檢測 Java(Maven)、JavaScript(npm)、Go 程式碼中引入的缺陷元件,不僅有清晰的修復方案,還可以通過此功能快速修復,即使程式碼的依賴發生變化導致了安全問題也不用擔心,外掛會及時給您提醒進行處理。
語言方面,murphysec 專案暫時僅支援 Java、JavaScript、Golang 、Python 語言專案的檢測。後續,墨菲安全也會逐漸支援其他的開發語言,敬請期待。
目前,murphysec 專案可適用於如 GitLab 程式碼庫檢測工具、Jenkins 整合安全檢測能力等更多場景。
近年來,隨著開源技術的不斷髮展應用,軟體供應鏈攻擊問題威脅日趨嚴重。面臨後疫情時代的全球科技創新發展新格局,軟體供應鏈安全風險話題逐漸成為全球關注的焦點。
墨菲安全團隊此次釋出的全新 murphysec 專案,也正是在這個大背景下開始應運而生的。
相信大家都還記得發生在去年 12 月的 Log4j2 漏洞事件,當時直接引爆全球科技圈震動,業界也紛紛開始重視關於開源軟體及生態安全治理相關措施。
該事件之後的今年3月份,墨菲安全實驗室也連續2天對Spark&Hadoop RCE漏洞及 Spring Cloud 的表示式注入漏洞做了全球首發預警,與此同時,螞蟻安全研究員對Spring 框架遠端命令執行漏洞進行發現並預警。
這些都要得益於基於墨菲安全開源檢測工具而開發的 IDE 外掛 ——IDE 檢測外掛,它可幫助開發者在 IDE 中即可檢測程式碼依賴的安全問題,輕鬆識別程式碼中使用了哪些存在安全缺陷的開源元件,通過準確的修復方案和一鍵修復功能,快速解決安全問題。
(外掛官方地址:
https://plugins.jetbrains.com...)
murphysec 專案:
具體安裝步驟如下:
- 訪問 GitHub Releases 頁面下載最新版本的墨菲安全 CLI,或執行以下相關命令:在 Linux 上安裝
- wget -q https://s.murphysec.com/insta... -O - | /bin/bash
在 OSX 上安裝 - curl -fsSL https://s.murphysec.com/insta... | /bin/bash
在 WINDOWS 上安裝 - powershell -Command "iwr -useb https://s.murphysec.com/insta... | iex"
使用:
執行 murphysec scan [your-project-path]完成開始檢測
檢視結果:
- 執行命令增加--json引數,可以將檢測結果輸出為 Json 格式進行檢視
- 也可以直接在墨菲安全平臺上檢視詳細的檢測結果
檢視依賴資訊:
- 檢視檢測結果(提供處置建議、缺陷元件的最小修復版本以及豐富的漏洞資訊)