【公眾號回復 「1024」,免費領取程序員賺錢實操經驗】
大家好,我是章魚貓。
今天的這個開源項目來自於讀者的投稿,是一個開源的安全檢測工具,非常優質。
問大家一個問題:從 GitHub 上 clone 一個開源項目或者組件,引入到線上項目代碼中運行,你會擔心有安全漏洞嗎?會擔心軟件被投毒嗎?
這種潛在的風險和威脅叫:軟件供應鏈攻擊。
據統計,2020 年較 2015 年開源項目數增長了近 3 倍,中國有超 88% 的企業在使用開源技術,開源代碼占軟件代碼的比例已經從 2015 年的不到 40% 上升到 19 年的超過 70%,大大提升了開發效率,加快了創新步伐。
開源技術應用、國際形勢複雜、軟件供應鏈的多樣化,供應鏈各個環節的攻擊急劇上升,軟件供應鏈安全風險已然成為企業及組織的主要安全威脅。當前開源軟件生產、分發、使用全過程缺乏有效的風險管理及生態治理能力,導致近幾年全球範圍內重大軟件供應鏈安全事件頻發,這無疑給軟件行業穩定發展帶來非常大的不確定性。
舉幾個這兩年軟件供應鏈投毒的案例,如下:
2020 年 12 月,SolarWinds 公司軟件更新包中存在後門導致客戶被入侵,該事件影響了數千家機構,包括美國國家安全局和美國能源部。
2021 年 3 月,一名研究員使用 「供應鏈 「漏洞(搶注內部組件名稱的方式)成功入侵了 35 家重要公司的內部系統:包括 Microsoft、Apple、PayPal、Shopify、Netflix、Yelp、Tesla 和 Uber。
2021 年 12 月,log4j2 漏洞爆發,墨菲安全實驗室對 log4j2 的 1~4 層依賴關係進行了統計分析,可以發現總共有超過 173104 個組件受該漏洞影響。
2022 年 3 月,墨菲安全實驗室連續 2 天全球首發預警了 Spark&Hadoop RCE 漏洞及 Spring Cloud 的表達式注入漏洞;緊接着之後螞蟻安全研究員又發現 Spring 框架遠程命令執行漏洞。
沒錯,我今天分享的這個開源軟件項目就是解決這個問題的。
這個開源項目是:murphysec, 是一款開源軟件安全檢測工具,致力於幫助每一個開發者更安全的使用開源代碼。
核心功能:
化驗:準確識別軟件中直接依賴和間接依賴的開源組件
看病:準確識別這些開源組件存在的安全漏洞及許可證合規風險
治療:為開發者提供簡單高效的一鍵缺陷修復能力
支持語言:
目前支持 Java、JavaScript、Golang 、Python 語言項目的檢測,後續會逐漸支持其他的開發語言。
檢測原理
對於使用不同語言 / 包管理工具的項目,工具主要採用項目構建或直接對包管理文件進行解析的方式,來準確獲取到項目的依賴信息
項目的依賴信息會上傳到服務端,並基於墨菲安全持續維護的漏洞知識庫來識別項目中存在安全缺陷的依賴
使用方法很簡單。如下:
安裝
訪問 GitHub Releases 頁面下載最新版本的墨菲安全 CLI,或執行以下相關命令:
在 Linux 上安裝
wget -q https://s.murphysec.com/install.sh -O - | /bin/bash
在 OSX 上安裝
curl -fsSL https://s.murphysec.com/install.sh | /bin/bash
在 WINDOWS 上安裝
powershell -Command "iwr -useb https://s.murphysec.com/install.ps1 | iex"
使用
執行 murphysec scan [your-project-path] 完成開始檢測
查看結果
執行命令增加 --json 參數,可以將檢測結果輸出為 Json 格式進行查看
也可以直接在墨菲安全平台上查看詳細的檢測結果
查看依賴信息
查看檢測結果(提供處置建議、缺陷組件的最小修復版本以及豐富的漏洞信息)
是不是很不錯,趕緊去使用一下吧。
開源項目地址:https://github.com/murphysecurity/murphysec
開源項目作者:墨菲安全
最近,章魚貓建了一個「GitHub 精選交流群」,歡迎大家一起交流優秀開源項目,也可以宣傳自己的開源項目,在 「GitHub 黑板報」公眾號後台回復【加群】邀請你入群。
---特別推薦---
特別推薦:一個新的優質的專注分享各種瀏覽器插件、黑科技教程、各種你想不到的高效率軟件及工具的公眾號,「程序員掘金」,專注挖掘好東西,非常值得大家關注。點擊下方公眾號卡片,直接關注。
留言列表