一、功能简介 将墨菲安全代码安全检测工具集成到 GitLab CI 中，可对每一次代码更新实时进行安全漏洞检测，并快速修复这些安全漏洞。 如果您使用过 GitLab CI 请直接按照第 4 步开始操作 集成效果 二、操作步骤 2.1 部署 GitLab Runner 为了使用 GitLab 的 CI/CD 功能，我们需要在一台能够访问到 GitLab 服务的…

引言 软件供应链是指软件从开发到交付到使用的整个过程中涉及的所有组织、人员、活动、资源和技术的集合。软件供应链具有复杂性、动态性、分布性和多样性等特点，涉及多个主体、多个环节、多个层次和多个领域。软件供应链不仅是软件产品和服务的生产者和提供者，也是软件产品和服务的消费者和使用者，构成了一个复杂的网络系统。 软件供应链面临着多方面的安全风险和挑战，如恶意代码植…

Apache RocketMQ 是阿里开源的一款高性能、高吞吐量的分布式消息中间件，在由阿里捐赠给Apache软件基金会之后孵化成了Apache的一个顶级项目（Top-Level Project，TLP）。它是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。 RocketMQ既可为分布式应用系统提供异步解耦和削峰填谷的能力，同时也具备互联网应用所需的海…

漏洞类型：代码注入 发现时间：2023/7/12 漏洞等级：高危 MPS编号：MPS-suce-h9wp CVE编号： CVE-2023-37582 漏洞影响广度：广 漏洞描述： RocketMQ 是一个开源的分布式消息中间件，NameServer 为 Producer 和 Consumer 节点提供路由信息的组件。 由于 CVE-2023-33246 的补…

fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象。fastjson 提供了高效的序列化和反序列化功能，支持自定义输出格式和类型信息。 fastjson 组件的漏洞列表及修复方案 以下是…

将MurphySec代码安全检测工具集成到GitHub action中，可对每一次代码更新实时进行安全漏洞检测，并快速修复这些安全漏洞。 如果您使用过GitHub Actions 请直接按照第3步开始操作 效果图 未开启请点击Actions启用GitHub Actions 如展示如下图所示表示项目已开启Actions 进入项目页面配置Action权限 点击s…

引言 你是否知道你使用的软件都是由哪些组件构成的？你是否了解这些组件的来源、版本、许可证和安全状况？如果你是一个软件开发者或者供应链管理者，你是否能够追踪和管理你的软件产品中包含的所有组件？在当今的软件行业，这些问题都是非常重要和紧迫的。为了提高软件供应链的透明度和安全性，我们需要一种工具来帮助我们识别、记录和共享软件组件的相关信息。这就是SBOM清单。 S…

引言 随着软件开发的日益复杂和分散，软件供应链安全成为了一个重要的挑战。软件供应链指的是从源代码到最终产品的整个生命周期中涉及的所有环节，包括开发、构建、测试、部署和维护等。软件供应链中可能存在各种各样的组件和依赖项，如开源软件、第三方库、框架、工具等。这些组件和依赖项可能来自不同的来源，具有不同的许可证，存在不同的漏洞和风险。如果不对这些组件和依赖项进行有…

软件中为什么会依赖开源组件？ 在软件开发的过程中，我们往往会使用一些第三方或者开源的组件，来提供一些基础的功能或者服务，从而简化开发工作，提高效率和质量。例如，我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作，如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的，它们可…