1. 墨知首页
  2. 工具推荐

GitHub集成 MurphySec 实时代码安全检测

工具推荐

将MurphySec代码安全检测工具集成到GitHub action中,可对每一次代码更新实时进行安全漏洞检测,并快速修复这些安全漏洞。

如果您使用过GitHub Actions 请直接按照第3步开始操作

目录 隐藏
1 效果图
2 未开启请点击Actions启用GitHub Actions
3 进入项目页面配置Action权限
4 登录murphysec官网获取token
5 添加MURPHYSEC_TOKEN
6 创建GitHub Actions
7 查看代码检测结果

效果图

GitHub集成 MurphySec 实时代码安全检测
GitHub集成 MurphySec 实时代码安全检测

未开启请点击Actions启用GitHub Actions

GitHub集成 MurphySec 实时代码安全检测

如展示如下图所示表示项目已开启Actions

GitHub集成 MurphySec 实时代码安全检测

进入项目页面配置Action权限

点击settings–>Actions–>General–>

勾选Read and write permissions

最下方勾选Allow GitHub Actions to create and approve pull requests

GitHub集成 MurphySec 实时代码安全检测
GitHub集成 MurphySec 实时代码安全检测

登录murphysec官网获取token

设置–>访问令牌–>点击复制按钮

GitHub集成 MurphySec 实时代码安全检测

添加MURPHYSEC_TOKEN

点击仓库settings–>Secrets and variables–>Actons–>New repository secret

GitHub集成 MurphySec 实时代码安全检测

创建变量name:MURPHYSEC_TOKEN secrets:murphysec官网复制的TOKEN

GitHub集成 MurphySec 实时代码安全检测

创建GitHub Actions

点击项目Actions–>New workflows

GitHub集成 MurphySec 实时代码安全检测

点击set up a workflow yourself

GitHub集成 MurphySec 实时代码安全检测

添加ci代码并提交

GitHub集成 MurphySec 实时代码安全检测

GitHub Actions代码

branches:对应的分支,需要自行修改需要执行检测的分支名称

name: "MurphySec code scan"
on:
  push:
    branches:
      - master
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout_Actions
        uses: actions/checkout@v3
      - name: Install MurphySec code scan cli
        run: |
          wget -q https://s.murphysec.com/release/install.sh -O - | /bin/bash
      - name: Code scan
        run: murphysec  scan . --token ${{ secrets.MURPHYSEC_TOKEN }} --json >scan_results.json
      - name: Format data
        run: | 
          wget https://s.murphysec.com/github_actions_format.py
          python3 github_actions_format.py
      - name: Check if file exists
        run: |
          if [ -f "results.sarif" ]; then
            echo "file_exists=true" >> $GITHUB_ENV
          else
            echo "file_exists=false" >> $GITHUB_ENV
          fi
      - name: Upload SARIF file
        if: env.file_exists == 'true'
        uses: github/codeql-action/upload-sarif@v2
        with:
          sarif_file: results.sarif

查看代码检测结果

进入项目页面–>Security–>Code scanning

当前页面展示了所有风险组件的漏洞概览

GitHub集成 MurphySec 实时代码安全检测

点击要查看的漏洞标题可以进入详细信息页面,之后点击Show more查看详细信息

GitHub集成 MurphySec 实时代码安全检测

详细信息包含了漏洞的编号,处置建议,引入路径以及修复方案

点击项目检测报告下方链接可以跳转到murphysec官网查看更详细的漏洞信息

GitHub集成 MurphySec 实时代码安全检测
(0)
上一篇 2023年8月9日 下午7:08
下一篇 2023年8月9日 下午7:15

相关推荐

  • 你装的 Skill 真的能用,但也真的会把你的隐私数据带走 工具推荐

    你装的 Skill 真的能用,但也真的会把你的隐私数据带走

    装了个 AI Skill,SSH 私钥可能先出门 最近,AI Agent 越来越像一个能干活的同事。 你给它一个任务,它能查资料、写代码、调接口、生成文档,甚至还能串起一堆工具自己跑流程。 而 Skill,就是让 Agent 变得更能干的一种方式。 今天装一个“代码审查 Skill”、 明天装一个“自动运维 Skill”、 后天再装一个“浏览器操作…

    4天前
    0
  • 如何生成一份SBOM清单 工具推荐

    如何生成一份SBOM清单

    引言 随着软件开发的日益复杂和分散,软件供应链安全成为了一个重要的挑战。软件供应链指的是从源代码到最终产品的整个生命周期中涉及的所有环节,包括开发、构建、测试、部署和维护等。软件供应链中可能存在各种各样的组件和依赖项,如开源软件、第三方库、框架、工具等。这些组件和依赖项可能来自不同的来源,具有不同的许可证,存在不同的漏洞和风险。如果不对这些组件和依赖项进行有…

    2023年8月9日
    0
  • Gitlab 集成 MurphySec 实时代码安全检测 工具推荐

    Gitlab 集成 MurphySec 实时代码安全检测

    一、功能简介 将墨菲安全代码安全检测工具集成到 GitLab CI 中,可对每一次代码更新实时进行安全漏洞检测,并快速修复这些安全漏洞。 如果您使用过 GitLab CI 请直接按照第 4 步开始操作 集成效果 二、操作步骤 2.1 部署 GitLab Runner 为了使用 GitLab 的 CI/CD 功能,我们需要在一台能够访问到 GitLab 服务的…

    2023年8月9日
    0
  • 墨菲安全发布SCA 4.0:AI原生、Skills 检测 工具推荐

    墨菲安全发布SCA 4.0:AI原生、Skills 检测

    写在前面 在企业安全治理中,有一个场景非常普遍:SCA 工具扫出来几十个漏洞,安全团队整理成工单派给研发,研发打开一看,一堆 CVE 编号和 CVSS 评分,完全看不懂,不知道该改哪里,更不知道改了会不会出问题。 于是就开始了漫长的来回沟通:安全要解释这个漏洞什么意思,研发要确认改完会不会影响线上,法务要判断许可证到底能不能用。一个本来 30 分钟能修好的问…

    2026年5月9日
    0
  • 如何排查软件中的使用的开源组件清单? 前沿技术

    如何排查软件中的使用的开源组件清单?

    软件中为什么会依赖开源组件? 在软件开发的过程中,我们往往会使用一些第三方或者开源的组件,来提供一些基础的功能或者服务,从而简化开发工作,提高效率和质量。例如,我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作,如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的,它们可…

    2023年8月9日
    0