知识普及

开源组件的漏洞检测工具：使用简单、能力专业、风险展示清晰的 ide 插件“murphysec”的使用指南。

前言 SBOM（软件物料清单）是近年来在软件供应链领域频繁提到的概念，Linux基金会在2021年Q3调研了全球412 家机构发现已经有82%的人熟悉SBOM、78%的组织预计在今年使用SBOM。本文将介绍SBOM基本概念、实现方式、应用场景，帮助读者通过SBOM更高效地实现安全治理目标。 什么是SBOM 根据NTIA(美国国家电信和信息化管理局)的定义，S…

所有的代码分析过程都在您的本地环境 整个检测过程主要分为两个环节：获取项目依赖信息、分析项目依赖存在的漏洞 ¶1. 获取项目依赖信息（用户本地环境） 墨菲安全在检测项目存在的安全问题时，首先需要获取到项目的依赖信息。目前我们主要采用项目构建及解析包管理文件两种方式。 我们以使用 Maven 作为构建工具的项目为例： Maven 是专门为 Java …

背景 SolarWinds Orion 软件更新包在2020年底被黑客植入后门，此次攻击事件波及范围极大，包括美国政府部门、关键基础设施以及多家全球500强企业，影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方，这次事件可能可以避免。 为了确认软件的来源和构建方式，实现完整性保护，Linux基金会联合Red Hat、Google 和 …

前言 得益于Java的完备生态，Java一直是非常热门的编程语言。但对于刚刚接触Java的开发者来说，很少会去关注安全相关的问题，没有养成良好的开发习惯，在开发过程中容易带来安全隐患。 我们在本文中总结了五条简单有效的小建议。 一、及时更新依赖组件版本 在Java开发中，开发者经常会用到各类开源组件来实现自己的功能点，但是许多开发者不常关注安全资讯，不了解开…

因为我本身也在做开源，所以比较关注这个问题，最近因为工作需要，总结和分析了一下关于开源许可证相关的知识，也分享给大家一起讨论，希望得到大家的指导。 前言 2021年12月，抖音海外版 TikTok 上线了一款名为 TikTok Live Studio 的 APP，但不久其下载页面就被删除。TikTok 官方对此事做出回应，原因是该 APP 违反 GPL 许可…