所有的代码分析过程都在您的本地环境
整个检测过程主要分为两个环节:获取项目依赖信息、分析项目依赖存在的漏洞
¶1. 获取项目依赖信息(用户本地环境)
墨菲安全在检测项目存在的安全问题时,首先需要获取到项目的依赖信息。目前我们主要采用项目构建
及解析包管理文件
两种方式。
我们以使用 Maven 作为构建工具的项目为例:
Maven 是专门为 Java 项目打造的管理和构建工具,提供了一套标准化的构建流程和依赖管理机制
¶方式一:项目构建
maven-dependency-plugin
是 Maven 提供的一个处理与依赖相关的插件,包含分析项目依赖的功能,可以使用 Maven 自带的命令进行操作(mvn dependency:tree)。
墨菲安全检测工具会优先尝试使用此种方式进行依赖的获取。
¶方式二:解析包管理文件
pom.xml
是 Maven 生成的配置文件,主要用来描述项目的各种信息,其中包含了项目引入的依赖。
在无法成功通过 maven-dependency-plugin
获取项目依赖的情况下,墨菲安全的检测工具会尝试解析 pom.xml 来获取依赖。
¶2. 分析项目依赖存在的漏洞(服务端)
对项目依赖的安全分析在服务端进行,基于墨菲安全持续维护的漏洞知识库,可以快速识别到存在安全缺陷的依赖,并提供丰富的检测结果和修复方案。
发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/knowledge-popularization/4205.html