知识普及

一、功能简介 将墨菲安全代码安全检测工具集成到 GitLab CI 中，可对每一次代码更新实时进行安全漏洞检测，并快速修复这些安全漏洞。 如果您使用过 GitLab CI 请直接按照第 4 步开始操作 集成效果 二、操作步骤 2.1 部署 GitLab Runner 为了使用 GitLab 的 CI/CD 功能，我们需要在一台能够访问到 GitLab 服务的…

引言 软件供应链是指软件从开发到交付到使用的整个过程中涉及的所有组织、人员、活动、资源和技术的集合。软件供应链具有复杂性、动态性、分布性和多样性等特点，涉及多个主体、多个环节、多个层次和多个领域。软件供应链不仅是软件产品和服务的生产者和提供者，也是软件产品和服务的消费者和使用者，构成了一个复杂的网络系统。 软件供应链面临着多方面的安全风险和挑战，如恶意代码植…

将MurphySec代码安全检测工具集成到GitHub action中，可对每一次代码更新实时进行安全漏洞检测，并快速修复这些安全漏洞。 如果您使用过GitHub Actions 请直接按照第3步开始操作 效果图 未开启请点击Actions启用GitHub Actions 如展示如下图所示表示项目已开启Actions 进入项目页面配置Action权限 点击s…

引言 你是否知道你使用的软件都是由哪些组件构成的？你是否了解这些组件的来源、版本、许可证和安全状况？如果你是一个软件开发者或者供应链管理者，你是否能够追踪和管理你的软件产品中包含的所有组件？在当今的软件行业，这些问题都是非常重要和紧迫的。为了提高软件供应链的透明度和安全性，我们需要一种工具来帮助我们识别、记录和共享软件组件的相关信息。这就是SBOM清单。 S…

引言 随着软件开发的日益复杂和分散，软件供应链安全成为了一个重要的挑战。软件供应链指的是从源代码到最终产品的整个生命周期中涉及的所有环节，包括开发、构建、测试、部署和维护等。软件供应链中可能存在各种各样的组件和依赖项，如开源软件、第三方库、框架、工具等。这些组件和依赖项可能来自不同的来源，具有不同的许可证，存在不同的漏洞和风险。如果不对这些组件和依赖项进行有…

软件中为什么会依赖开源组件？ 在软件开发的过程中，我们往往会使用一些第三方或者开源的组件，来提供一些基础的功能或者服务，从而简化开发工作，提高效率和质量。例如，我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作，如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的，它们可…

写在前面 自从和几个小伙伴一起创办墨菲安全以来，有一年半多的时间了，创业对于我来说，很有意思的一个地方，就是有机会可以和各行各业很多非常有意思的人一起交流，在这个交流的过程中能够不断的提升自己的认知，以我自己创业之前的经历来说，我接触的大多都是互联网和互联网安全这个圈子的人，而现在有很多机会去接触到更多行业的客户和合作伙伴，可以有机会去了解不同行业的业务、安…

开源组件的漏洞检测工具：使用简单、能力专业、风险展示清晰的 ide 插件“murphysec”的使用指南。

前言 SBOM（软件物料清单）是近年来在软件供应链领域频繁提到的概念，Linux基金会在2021年Q3调研了全球412 家机构发现已经有82%的人熟悉SBOM、78%的组织预计在今年使用SBOM。本文将介绍SBOM基本概念、实现方式、应用场景，帮助读者通过SBOM更高效地实现安全治理目标。 什么是SBOM 根据NTIA(美国国家电信和信息化管理局)的定义，S…

所有的代码分析过程都在您的本地环境 整个检测过程主要分为两个环节：获取项目依赖信息、分析项目依赖存在的漏洞 ¶1. 获取项目依赖信息（用户本地环境） 墨菲安全在检测项目存在的安全问题时，首先需要获取到项目的依赖信息。目前我们主要采用项目构建及解析包管理文件两种方式。 我们以使用 Maven 作为构建工具的项目为例： Maven 是专门为 Java …