软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

背景

如今,软件供应链安全问题已经成为一个全球性的难题。根据数据统计,2017年全球遭受网络攻击的公司比例已经达到了93%,其中很大一部分是由于软件供应链安全问题导致的。而在中国,据统计,2019年全国共发生了2.7万起网络安全事件,其中不乏因软件供应链安全问题而导致的事件。

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

软件供应链安全问题的出现原因也较为复杂,包括第三方供应商的安全风险、源代码泄露、恶意软件等,并涉及到软件生命周期的所有环节,包括开发、测试、交付、维护等。由于软件供应链中各环节之间相互依赖,一旦其中某个环节出现安全漏洞,将会影响整个供应链,给企业带来不可估量的损失。越来越多的企业开始关注软件供应链安全问题,为了保障软件供应链的安全,许多企业都开始寻求解决方案。在这种情况下,墨菲安全应运而生。

墨菲安全是一款功能强大的软件安全检测工具,它可以对软件进行全面的安全检测和分析,帮助企业和开发者发现软件中存在的安全隐患和风险。墨菲安全可以对代码进行检测,分析软件的成分和许可证合规性等,让用户更加安心地使用软件。以下将详细介绍墨菲安全的检测工具及使用方法。

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

墨菲安全平台的五大产品

墨菲安全的“苏木-软件成分分析”、“京墨-源安全管理网关”、“南星-云原生容器安全”、“赤箭-许可证合规管理”、“贯众-漏洞情报预警”这五大产品,夯实了软件供应链安全平台的能力。

苏木-软件成分分析

苏木拥有行业领先的漏洞知识库,支持10min快速接入各开发流程,将代码项目存在的安全风险清晰展示,并支持IDE插件、GitHub等方式快速完成漏洞修复,轻松管理开源风险。

  • 无需依赖源码,只需二进制软件包/固件即可快速检测
  • 检测二进制软件包/固件中存在的漏洞、许可证类型及合规风险,并提供修复建议
  • 支持多种资产识别方式:如源代码、二进制,编译包识别,覆盖全主流开发语言:如java,python,JavaScript…
  • 高准动态SBOM清单分析,树状层级清晰展示组件依赖关系
  • 拥有专业的漏洞库,可确定代码缺陷点及利用条件,避免误报或修复大量无法利用的漏洞
  • 清晰定位缺陷组件,各版本升级兼容性评分目了然,一键修复省时省力更省心
软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

京墨-源安全管理网关

京墨从源头卡住安全风险,安全能力左移前置,使代码安全检测用于从开发到测试的DevSecOps全流程之中。可无缝对接Nexus,Jfrog,支持黑白名单配置管理、卡位管理及制品检测,降低企业的成本和风险。

  • 10分钟快速接入,深度融合DevOps,加速安全开发
  • 识别官方源是否被投毒,轻松完成高风险组件的基线管理及内部二次开发引入高危组件风险管理
  • 全量检测制品库,识别制品存在的漏洞、许可证合规风险及SBOM清单
  • 识别构建过程中引入的高危组件及高危漏洞,提供投毒检测能力,降低后续安全成本
软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

南星-云原生容器安全

南星可提供容器镜像管理,通过极低的接入成本、对镜像基础组件识别和容器镜像应用检测,来持续降低交付安全风险。

  • 识别容器镜像中的漏洞信息并提供修复建议
  • 识别容器镜像中依赖的组件的许可证类型及合规风险
  • 提供完整的资产清单,理清资产间依赖关系
软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

赤箭-许可证合规管理

赤箭会自动识别开源组件协议,来降低许可证侵权风险。目前已覆盖3000+许可证类型,可做到对精准识别及合规风险快速管理。

  • 支持函数级代码片段分析,清晰展示组件依赖,高准确度覆盖
  • 支持二进制及嵌入式固件检测,通过文件提取接入检测,压缩壳、安装包等,满足多种检测方式需求
  • 判断许可证风险等级、合规风险及快速管理,规避产权风险
软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

贯众-漏洞情报预警

贯众覆盖超6w+主流组件,并已全球首发多个0day预警,漏洞预警已达分钟级,从容应对安全风险。

  • 最完备的漏洞知识库,助你快速响应排查
  • 庞大的标准缺陷知识数据,帮你快速定位和修复
  • 已成功多次预警大范围通用组件漏洞
  • 全准快精的漏洞情报,90%快于同行,通告信息包含修复方案、攻击方式、攻击评估
软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

如何使用墨菲安全来完成一次检测?

墨菲安全是一款简单易用的软件供应链安全检测工具,以下是详细的使用方法:

第一步:打开墨菲安全官方网站 – 点击进入控制台

官网地址:https://www.murphysec.com

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

第二步:点击创建任务 – 进入选择接入方式页面 – 选择适合你的接入方式

目前已支持“JetBrains IDE插件接入”、“GitLab快速接入”、“CLI检测接入”、“GitHub快速接入”、“源文件上传接入”等多种方式

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

第三步:开始进入接入配置 – 设置结果处置规则 – 设置任务执行规则

  1. 选择合适的接入方式后,完成对应配置,选择检测的代码项目范围后就可以检测了(见图一)。
  2. 当然也可以选择对检测结果设置处置规则,开启消息通知将会更有利于实施自动管理,只要达到预警要求将会第一时间通知各方人员(见图二)。
  3. 还可选择不同检测模式、是否同时检测许可证合规分析及整个任务执行规则(见图三)。
软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

(图一)

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

(图二)

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

(图三)

第四步:根据设置的任务执行规则进行检测 – 得到检测结果

(1)缺陷组件代表该版本的组件存在漏洞需处理,处置建议分为强烈建议修复建议修复可选修复3个等级来表示需处理的紧急程度;

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

(2)显示可一键修复的缺陷组件,可以通过IDEA或GitHub进行快速修复

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

(3)许可证风险:可识别组件的许可证类型,判断是否存在冲突风险;

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

(4)支持显示完整SBOM清单,可以切换树状/列表展示,并支持导出;

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

(5)支持多种分享方式,及时同步每一个风险给团队。

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

以上就是墨菲安全检测工具的使用介绍。

最后,附上流程图方便理解:

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。核心能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。

墨非安全为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。产品支持SaaS、私有化部署,目前已服务多家互联网、金融、人工智能、IOT行业头部企业客户,目前墨菲安全已经服务包括蚂蚁、平安、快手等在内的数百家企业客户。

官网地址:https://www.murphysec.com/

开源项目:https://github.com/murphysecurity/murphysec

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/product-presentation/4756.html

(0)
上一篇 2023年2月20日 10:20
下一篇 2023年2月23日 10:46

相关推荐

  • 十年磨一剑,墨菲安全正式发布开源项目murphysec,专注软件供应链安全治理

    先抛出两个问题: 你们公司从超市买一桶水回去,喝之前会做检测吗?会担心水被人下毒吗? 你们公司的程序员从 GitHub 上 clone 一个开源项目或者组件,引入到线上项目代码中运行,你会担心有安全漏洞吗?会担心软件投毒吗? 开源技术的应用成为驱动新一轮产业数字化升级的核心动力 “迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、…

    2023年1月4日
  • 拥抱大模型-大语言模型在墨菲安全产品中的应用

    近年来大模型的飞速发展,让人们看到了AI的无限可能,业界在积极探索大模型在各个领域的应用。在过去的一段时间里,墨菲安全也在积极探索大模型在软件供应链安全场景中的应用。 大模型在漏洞知识库中的应用 墨菲安全后端的漏洞、软件知识库构建过程涉及到大量的语义理解工作,包括自然语言的语义、代码的语义。在过去我们通常会构建一系列的小模型来完成这些工作,例如模型A用于提取…

    2023年6月11日
  • 看到我们的IDE插件代码被友商复制粘贴了,所以我们做了一个愉快的决定

    昨天看到一个朋友给我发了一篇文章,某友商也发布了一款关于代码安全检测的 IDE 插件,其中UI和代码特征上,与我们的MurphySec Code Scan 插件有一些非常相似的地方。于是我们也简单做了一些分析: UI 对比,icon好像是一样的? 友商 IDE 插件代码中出现的murphysec字样,而且友商的插件里面并没有看到快速认证这个功能,可能是后端不…

    2023年1月5日
  • 10分钟对公司的gitlab代码仓库来一次安全体检

    去年 log4j 漏洞爆发时候就已经很痛苦了,当时把所有的线上服务排查了一遍。没想到这都已经过去3个月了,上周又遇到了一个服务仍在使用低版本,被外部攻击,有点受伤。 这件事后,老板让我全量扫一遍我们的代码库,看还有哪些服务还在用老版本的 log4j,统一推一波修复,防止后续在发生此类事件。 方案调研 方案一(放弃) 当时我第一反应是写个脚本,遍历所有项目,再…

    2023年1月4日
  • 墨菲安全受邀与腾讯安全共话软件供应链安全治理

    墨菲安全是一家专注于软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。 一、墨菲安全受邀参加腾讯安全云鼎实验室公开课分享 2022…

    2023年1月4日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741