¶ CLI客户端
更新时间: 2023-07-26 16:51:33
¶ 一、功能简介
墨菲安全提供的 CLI 工具,可用于在命令行检测本地环境中指定目录代码的依赖安全问题,同时可以基于 CLI 工具集成在 CI|CD 任意流程中进行检测。 如:CLI 与 Jenkins 的集成
¶ 二、客户端命令详解
¶ 2.1 CLI 命令的使用
murphysec auth命令用于 CLI 的认证,如未认证,可执行murphysec scan {project path} --server {Your service address} --token {Your token}对项目进行检测
Authenticate CLI with murphysec
Usage:
murphysec auth [command]
Available Commands:
login--登录
logout--退出
murphysec scan命令主要用于对本地指定项目源代码进行检测,目前支持 Java、JavaScript、Go、Python 语言
Usage:
murphysec scan DIR [flags]
Flags:
-h, --help 帮助
--json 设置返回结果为json格式
--task-id string 指定本次检测归属的项目ID
Global Flags:
-x --allow-insecure 允许不安全的TLS连接
--log-level string 指定输出日志信息的级别, 可以为 silent|error|warn|info|debug (默认为 "silent", 不输出日志)
--network-log 打印网络数据
--no-log-file 不输出日志文件
--server string 指定服务地址
--token string 指定墨菲安全服务 Token
-v, --version 输出 CLI 版本
--write-log-to string 指定日志文件的路径
¶ 三、使用步骤(商业版)
¶ 3.1 创建任务
- 点击 集成方式 -> CLI -> 下载CLI并上传到机器 -> 添加执行权限 -> 复制检测命令
¶ 3.2 开始检测
- 在机器上执行 CLI 检测命令
- 检测模式说明
scan: 通过扫描项目中的各种文件类型来检测开源漏洞,全方位从项目中的源代码、二进制等文件中,获取最全面的组件信息和存在的漏洞
binscan: 通过扫描二进制文件检测开源漏洞,专门针对二进制文件进行检测,识别二进制文件中的开源组件和存在的漏洞
dfscan: 通过扫描包管理文件,分析项目源代码中的依赖配置文件,识别项目中使用的开源组件和存在的漏洞
¶ 3.3 查看检测结果
- 进入控制台 -> 项目管理 -> 检测项目 :http://{Your service address}/console/project?tab=1
¶ 四、使用步骤(SaaS版)
¶ 4.1 创建任务
- 点击 集成方式 -> CLI -> 安装 CLI -> 配置用户 token
¶ 4.2 开启检测
murphysec scan {project path}
- 检测模式说明
scan: 通过扫描项目中的各种文件类型来检测开源漏洞,全方位从项目中的源代码、二进制等文件中,获取最全面的组件信息和存在的漏洞
binscan: 通过扫描二进制文件检测开源漏洞,专门针对二进制文件进行检测,识别二进制文件中的开源组件和存在的漏洞
dfscan: 通过扫描包管理文件,分析项目源代码中的依赖配置文件,识别项目中使用的开源组件和存在的漏洞
¶ 4.3 查看检测结果
- 进入控制台 -> 项目管理 -> 检测项目 :https://www.murphysec.com/console/project?tab=1
¶ 五、常见问题
¶ 问:本地有 Maven 环境,依然提示【Maven 信息获取失败,可能导致结果不完整或失败 】
答:读取本地 log 查看原因,执行 murphysec --log-level debug 进行排查。