1. 墨菲安全首页
  2. 热门

GitHub集成 MurphySec 实时代码安全检测

墨菲安全 热门, 知识普及
快速访问 隐藏
1 效果图
2 未开启请点击Actions启用GitHub Actions
3 进入项目页面配置Action权限
4 登录murphysec官网获取token
5 添加MURPHYSEC_TOKEN
6 创建GitHub Actions
7 查看代码检测结果

将MurphySec代码安全检测工具集成到GitHub action中,可对每一次代码更新实时进行安全漏洞检测,并快速修复这些安全漏洞。

如果您使用过GitHub Actions 请直接按照第3步开始操作

效果图

GitHub集成 MurphySec 实时代码安全检测
GitHub集成 MurphySec 实时代码安全检测

未开启请点击Actions启用GitHub Actions

GitHub集成 MurphySec 实时代码安全检测

如展示如下图所示表示项目已开启Actions

GitHub集成 MurphySec 实时代码安全检测

进入项目页面配置Action权限

点击settings–>Actions–>General–>

勾选Read and write permissions

最下方勾选Allow GitHub Actions to create and approve pull requests

GitHub集成 MurphySec 实时代码安全检测
GitHub集成 MurphySec 实时代码安全检测

登录murphysec官网获取token

设置–>访问令牌–>点击复制按钮

GitHub集成 MurphySec 实时代码安全检测

添加MURPHYSEC_TOKEN

点击仓库settings–>Secrets and variables–>Actons–>New repository secret

GitHub集成 MurphySec 实时代码安全检测

创建变量name:MURPHYSEC_TOKEN secrets:murphysec官网复制的TOKEN

GitHub集成 MurphySec 实时代码安全检测

创建GitHub Actions

点击项目Actions–>New workflows

GitHub集成 MurphySec 实时代码安全检测

点击set up a workflow yourself

GitHub集成 MurphySec 实时代码安全检测

添加ci代码并提交

GitHub集成 MurphySec 实时代码安全检测

GitHub Actions代码

branches:对应的分支,需要自行修改需要执行检测的分支名称

name: "MurphySec code scan"
on:
  push:
    branches:
      - master
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout_Actions
        uses: actions/checkout@v3
      - name: Install MurphySec code scan cli
        run: |
          wget -q https://s.murphysec.com/release/install.sh -O - | /bin/bash
      - name: Code scan
        run: murphysec  scan . --token ${{ secrets.MURPHYSEC_TOKEN }} --json >scan_results.json
      - name: Format data
        run: | 
          wget https://s.murphysec.com/github_actions_format.py
          python3 github_actions_format.py
      - name: Check if file exists
        run: |
          if [ -f "results.sarif" ]; then
            echo "file_exists=true" >> $GITHUB_ENV
          else
            echo "file_exists=false" >> $GITHUB_ENV
          fi
      - name: Upload SARIF file
        if: env.file_exists == 'true'
        uses: github/codeql-action/upload-sarif@v2
        with:
          sarif_file: results.sarif

查看代码检测结果

进入项目页面–>Security–>Code scanning

当前页面展示了所有风险组件的漏洞概览

GitHub集成 MurphySec 实时代码安全检测

点击要查看的漏洞标题可以进入详细信息页面,之后点击Show more查看详细信息

GitHub集成 MurphySec 实时代码安全检测

详细信息包含了漏洞的编号,处置建议,引入路径以及修复方案

点击项目检测报告下方链接可以跳转到murphysec官网查看更详细的漏洞信息

GitHub集成 MurphySec 实时代码安全检测

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/knowledge-popularization/4905.html

(0)
墨菲安全墨菲安全
0
上一篇 2023年7月7日 18:56
下一篇 2023年7月12日 14:50

相关推荐

  • 墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖 热门

    墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖

    2023年2月16日,首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在北京成功举办,多位业界顶级专家与工业和信息化部网络安全管理局相关领导出席,为现场观众分享了关于软件供应链可持续性与安全治理行业的前瞻与思考。会议期间,墨菲安全自主研发的【软件供应链安全管理平台】授予了自主研发创新成果奖。会议下午,墨菲安全协助中国移动举办分会场论…

    2023年2月20日
  • RocketMQ 组件的安全漏洞及修复方案 热门

    RocketMQ 组件的安全漏洞及修复方案

    Apache RocketMQ 是阿里开源的一款高性能、高吞吐量的分布式消息中间件,在由阿里捐赠给Apache软件基金会之后孵化成了Apache的一个顶级项目(Top-Level Project,TLP)。它是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。 RocketMQ既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海…

    2023年7月14日
  • 如何排查软件中的使用的开源组件清单? 热门

    如何排查软件中的使用的开源组件清单?

    软件中为什么会依赖开源组件? 在软件开发的过程中,我们往往会使用一些第三方或者开源的组件,来提供一些基础的功能或者服务,从而简化开发工作,提高效率和质量。例如,我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作,如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的,它们可…

    2023年7月6日
  • 我们如何对您的代码进行检测 知识普及

    我们如何对您的代码进行检测

    所有的代码分析过程都在您的本地环境 整个检测过程主要分为两个环节:获取项目依赖信息、分析项目依赖存在的漏洞 ¶1. 获取项目依赖信息(用户本地环境) 墨菲安全在检测项目存在的安全问题时,首先需要获取到项目的依赖信息。目前我们主要采用项目构建及解析包管理文件两种方式。 我们以使用 Maven 作为构建工具的项目为例: Maven 是专门为 Java …

    2023年1月4日
  • 如何通过SBOM(软件物料清单)实现安全治理 知识普及

    如何通过SBOM(软件物料清单)实现安全治理

    前言 SBOM(软件物料清单)是近年来在软件供应链领域频繁提到的概念,Linux基金会在2021年Q3调研了全球412 家机构发现已经有82%的人熟悉SBOM、78%的组织预计在今年使用SBOM。本文将介绍SBOM基本概念、实现方式、应用场景,帮助读者通过SBOM更高效地实现安全治理目标。 什么是SBOM 根据NTIA(美国国家电信和信息化管理局)的定义,S…

    2023年1月4日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741