近期有很多同学在找【漏洞扫描工具】,今天来推荐下这款开源组件的漏洞检测工具:使用简单、能力专业、风险展示清晰的 ide 插件“murphysec”。
它可以快速识别项目中使用了哪些存在安全缺陷的开源组件,并帮助一键修复问题。目前支持Java、Javascript、Golang、Python语言的检测,会逐步支持PHP、Ruby以及更多的开发语言。
插件使用的详细文档:
https://www.murphysec.com/docs/guides/scan-scene/ide-plugin.html
该项目核心引擎已开源,欢迎大家star:
https://github.com/murphysecurity/murphysec
IDE 插件展示
目前这款插件支持Jetbrains家族,在插件市场搜索 “murphysec” 即刻体验。
从插件市场安装并完成配置后,以下就是检测结果的呈现,不看不知道这么多风险组件。
如何看待强烈建议修复?
基于墨菲安全专家团队对漏洞的分析研判,我们筛选出了利用成本较低,同时可能造成的实际危害较大的漏洞,标记为了强烈建议修复,可以用于指导治理工作的优先级。
强烈建议修复的漏洞主要考量了以下几个维度的因素:
- 漏洞级别
- 漏洞公开的时间
- 是否有公开POC
- 是否可能直接导致数据泄漏
- 利用条件
举例来说,如果一个漏洞超过两年都没有公开poc,意味着关注度并不高,即便是高危或者严重漏洞,在真实场景中存在被利用的可能性也较低,因此在企业安全团队资源有限的情况下可以不高优先级处理,也不会被列入强烈建议修复的等级中。
经过以上维度的筛选,当项目检测提示强烈建议修复的组件,插件右侧也给出了相对应的修复建议,操作简单收益大,建议研发小伙伴们可以尽快修复~
其次项目风险分数根据漏洞等级和数量累加,不以组件数量计算,可以对其他漏洞数量较多的组件进行修复,提升项目整体安全性,可以看到风险分数快速降低!