我们如何对您的代码进行检测

所有的代码分析过程都在您的本地环境

img

整个检测过程主要分为两个环节:获取项目依赖信息、分析项目依赖存在的漏洞

1. 获取项目依赖信息(用户本地环境)

墨菲安全在检测项目存在的安全问题时,首先需要获取到项目的依赖信息。目前我们主要采用项目构建解析包管理文件两种方式。

我们以使用 Maven 作为构建工具的项目为例:

Maven 是专门为 Java 项目打造的管理和构建工具,提供了一套标准化的构建流程和依赖管理机制

方式一:项目构建

maven-dependency-plugin是 Maven 提供的一个处理与依赖相关的插件,包含分析项目依赖的功能,可以使用 Maven 自带的命令进行操作(mvn dependency:tree)。

墨菲安全检测工具会优先尝试使用此种方式进行依赖的获取。

img

方式二:解析包管理文件

pom.xml是 Maven 生成的配置文件,主要用来描述项目的各种信息,其中包含了项目引入的依赖。

img

在无法成功通过 maven-dependency-plugin 获取项目依赖的情况下,墨菲安全的检测工具会尝试解析 pom.xml 来获取依赖。

2. 分析项目依赖存在的漏洞(服务端)

对项目依赖的安全分析在服务端进行,基于墨菲安全持续维护的漏洞知识库,可以快速识别到存在安全缺陷的依赖,并提供丰富的检测结果和修复方案。

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/knowledge-popularization/4205.html

(1)
上一篇 2023年1月4日 17:40
下一篇 2023年1月4日 18:05

相关推荐

  • 软件供应链安全相关监管要求

    引言 软件供应链是指软件从开发到交付到使用的整个过程中涉及的所有组织、人员、活动、资源和技术的集合。软件供应链具有复杂性、动态性、分布性和多样性等特点,涉及多个主体、多个环节、多个层次和多个领域。软件供应链不仅是软件产品和服务的生产者和提供者,也是软件产品和服务的消费者和使用者,构成了一个复杂的网络系统。 软件供应链面临着多方面的安全风险和挑战,如恶意代码植…

    2023年7月14日
  • 如何通过SBOM(软件物料清单)实现安全治理

    前言 SBOM(软件物料清单)是近年来在软件供应链领域频繁提到的概念,Linux基金会在2021年Q3调研了全球412 家机构发现已经有82%的人熟悉SBOM、78%的组织预计在今年使用SBOM。本文将介绍SBOM基本概念、实现方式、应用场景,帮助读者通过SBOM更高效地实现安全治理目标。 什么是SBOM 根据NTIA(美国国家电信和信息化管理局)的定义,S…

    2023年1月4日
  • CSO 们关注的软件供应链安全十个关键问题

    写在前面 自从和几个小伙伴一起创办墨菲安全以来,有一年半多的时间了,创业对于我来说,很有意思的一个地方,就是有机会可以和各行各业很多非常有意思的人一起交流,在这个交流的过程中能够不断的提升自己的认知,以我自己创业之前的经历来说,我接触的大多都是互联网和互联网安全这个圈子的人,而现在有很多机会去接触到更多行业的客户和合作伙伴,可以有机会去了解不同行业的业务、安…

    2023年6月27日
  • 如何排查软件中的使用的开源组件清单?

    软件中为什么会依赖开源组件? 在软件开发的过程中,我们往往会使用一些第三方或者开源的组件,来提供一些基础的功能或者服务,从而简化开发工作,提高效率和质量。例如,我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作,如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的,它们可…

    2023年7月6日
  • 软件完整性保护方案之Sigstore

    背景 SolarWinds Orion 软件更新包在2020年底被黑客植入后门,此次攻击事件波及范围极大,包括美国政府部门、关键基础设施以及多家全球500强企业,影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方,这次事件可能可以避免。 为了确认软件的来源和构建方式,实现完整性保护,Linux基金会联合Red Hat、Google 和 …

    2023年1月4日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741