我们如何对您的代码进行检测

所有的代码分析过程都在您的本地环境

img

整个检测过程主要分为两个环节:获取项目依赖信息、分析项目依赖存在的漏洞

1. 获取项目依赖信息(用户本地环境)

墨菲安全在检测项目存在的安全问题时,首先需要获取到项目的依赖信息。目前我们主要采用项目构建解析包管理文件两种方式。

我们以使用 Maven 作为构建工具的项目为例:

Maven 是专门为 Java 项目打造的管理和构建工具,提供了一套标准化的构建流程和依赖管理机制

方式一:项目构建

maven-dependency-plugin是 Maven 提供的一个处理与依赖相关的插件,包含分析项目依赖的功能,可以使用 Maven 自带的命令进行操作(mvn dependency:tree)。

墨菲安全检测工具会优先尝试使用此种方式进行依赖的获取。

img

方式二:解析包管理文件

pom.xml是 Maven 生成的配置文件,主要用来描述项目的各种信息,其中包含了项目引入的依赖。

img

在无法成功通过 maven-dependency-plugin 获取项目依赖的情况下,墨菲安全的检测工具会尝试解析 pom.xml 来获取依赖。

2. 分析项目依赖存在的漏洞(服务端)

对项目依赖的安全分析在服务端进行,基于墨菲安全持续维护的漏洞知识库,可以快速识别到存在安全缺陷的依赖,并提供丰富的检测结果和修复方案。

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/knowledge-popularization/4205.html

(1)
上一篇 2023年1月4日 17:40
下一篇 2023年1月4日 18:05

相关推荐

  • Gitlab 集成 MurphySec 实时代码安全检测

    一、功能简介 将墨菲安全代码安全检测工具集成到 GitLab CI 中,可对每一次代码更新实时进行安全漏洞检测,并快速修复这些安全漏洞。 如果您使用过 GitLab CI 请直接按照第 4 步开始操作 集成效果 二、操作步骤 2.1 部署 GitLab Runner 为了使用 GitLab 的 CI/CD 功能,我们需要在一台能够访问到 GitLab 服务的…

    2023年7月17日
  • Java 漏洞扫描工具之 IDE 插件以及强烈修复漏洞解释

    开源组件的漏洞检测工具:使用简单、能力专业、风险展示清晰的 ide 插件“murphysec”的使用指南。

    2023年2月6日
  • 软件供应链安全相关监管要求

    引言 软件供应链是指软件从开发到交付到使用的整个过程中涉及的所有组织、人员、活动、资源和技术的集合。软件供应链具有复杂性、动态性、分布性和多样性等特点,涉及多个主体、多个环节、多个层次和多个领域。软件供应链不仅是软件产品和服务的生产者和提供者,也是软件产品和服务的消费者和使用者,构成了一个复杂的网络系统。 软件供应链面临着多方面的安全风险和挑战,如恶意代码植…

    2023年7月14日
  • SBOM清单是什么?

    引言 你是否知道你使用的软件都是由哪些组件构成的?你是否了解这些组件的来源、版本、许可证和安全状况?如果你是一个软件开发者或者供应链管理者,你是否能够追踪和管理你的软件产品中包含的所有组件?在当今的软件行业,这些问题都是非常重要和紧迫的。为了提高软件供应链的透明度和安全性,我们需要一种工具来帮助我们识别、记录和共享软件组件的相关信息。这就是SBOM清单。 S…

    2023年7月7日
  • Java开发初学者的五条安全小贴士

    前言 得益于Java的完备生态,Java一直是非常热门的编程语言。但对于刚刚接触Java的开发者来说,很少会去关注安全相关的问题,没有养成良好的开发习惯,在开发过程中容易带来安全隐患。 我们在本文中总结了五条简单有效的小建议。 一、及时更新依赖组件版本 在Java开发中,开发者经常会用到各类开源组件来实现自己的功能点,但是许多开发者不常关注安全资讯,不了解开…

    2023年1月4日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741