Java 漏洞扫描工具之 IDE 插件以及强烈修复漏洞解释

开源组件的漏洞检测工具:使用简单、能力专业、风险展示清晰的 ide 插件“murphysec”的使用指南。

近期有很多同学在找【漏洞扫描工具】,今天来推荐下这款开源组件的漏洞检测工具:使用简单、能力专业、风险展示清晰的 ide 插件“murphysec”。

它可以快速识别项目中使用了哪些存在安全缺陷的开源组件,并帮助一键修复问题。目前支持Java、Javascript、Golang、Python语言的检测,会逐步支持PHP、Ruby以及更多的开发语言。

插件使用的详细文档:

https://www.murphysec.com/docs/guides/scan-scene/ide-plugin.html

该项目核心引擎已开源,欢迎大家star:

https://github.com/murphysecurity/murphysec

IDE 插件展示

目前这款插件支持Jetbrains家族,在插件市场搜索 “murphysec” 即刻体验。

代码扫描工具

从插件市场安装并完成配置后,以下就是检测结果的呈现,不看不知道这么多风险组件。

墨菲安全代码扫描评分

如何看待强烈建议修复

基于墨菲安全专家团队对漏洞的分析研判,我们筛选出了利用成本较低,同时可能造成的实际危害较大的漏洞,标记为了强烈建议修复,可以用于指导治理工作的优先级。

强烈建议修复的漏洞主要考量了以下几个维度的因素:

  • 漏洞级别

  • 漏洞公开的时间

  • 是否有公开POC

  • 是否可能直接导致数据泄漏

  • 利用条件

举例来说,如果一个漏洞超过两年都没有公开poc,意味着关注度并不高,即便是高危或者严重漏洞,在真实场景中存在被利用的可能性也较低,因此在企业安全团队资源有限的情况下可以不高优先级处理,也不会被列入强烈建议修复的等级中。

经过以上维度的筛选,当项目检测提示强烈建议修复的组件,插件右侧也给出了相对应的修复建议,操作简单收益大,建议研发小伙伴们可以尽快修复~
其次项目风险分数根据漏洞等级和数量累加,不以组件数量计算,可以对其他漏洞数量较多的组件进行修复,提升项目整体安全性,可以看到风险分数快速降低!
如果组件修复遇到问题,也欢迎私信我们,会有专业的安全技术同学进行协助解决,让项目变得安全的第一步更加顺利,让每一个开发者能更安全的使用开源组件!

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/knowledge-popularization/4678.html

(0)
上一篇 2023年2月6日 14:25
下一篇 2023年2月6日 17:13

相关推荐

  • 谈谈常见开源许可证合规风险及解决方案

    因为我本身也在做开源,所以比较关注这个问题,最近因为工作需要,总结和分析了一下关于开源许可证相关的知识,也分享给大家一起讨论,希望得到大家的指导。 前言 2021年12月,抖音海外版 TikTok 上线了一款名为 TikTok Live Studio 的 APP,但不久其下载页面就被删除。TikTok 官方对此事做出回应,原因是该 APP 违反 GPL 许可…

    2023年1月4日
  • 软件完整性保护方案之Sigstore

    背景 SolarWinds Orion 软件更新包在2020年底被黑客植入后门,此次攻击事件波及范围极大,包括美国政府部门、关键基础设施以及多家全球500强企业,影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方,这次事件可能可以避免。 为了确认软件的来源和构建方式,实现完整性保护,Linux基金会联合Red Hat、Google 和 …

    2023年1月4日
  • 如何排查软件中的使用的开源组件清单?

    软件中为什么会依赖开源组件? 在软件开发的过程中,我们往往会使用一些第三方或者开源的组件,来提供一些基础的功能或者服务,从而简化开发工作,提高效率和质量。例如,我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作,如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的,它们可…

    2023年7月6日
  • SBOM清单是什么?

    引言 你是否知道你使用的软件都是由哪些组件构成的?你是否了解这些组件的来源、版本、许可证和安全状况?如果你是一个软件开发者或者供应链管理者,你是否能够追踪和管理你的软件产品中包含的所有组件?在当今的软件行业,这些问题都是非常重要和紧迫的。为了提高软件供应链的透明度和安全性,我们需要一种工具来帮助我们识别、记录和共享软件组件的相关信息。这就是SBOM清单。 S…

    2023年7月7日
  • CSO 们关注的软件供应链安全十个关键问题

    写在前面 自从和几个小伙伴一起创办墨菲安全以来,有一年半多的时间了,创业对于我来说,很有意思的一个地方,就是有机会可以和各行各业很多非常有意思的人一起交流,在这个交流的过程中能够不断的提升自己的认知,以我自己创业之前的经历来说,我接触的大多都是互联网和互联网安全这个圈子的人,而现在有很多机会去接触到更多行业的客户和合作伙伴,可以有机会去了解不同行业的业务、安…

    2023年6月27日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741