murphysec

前言 SBOM（软件物料清单）是近年来在软件供应链领域频繁提到的概念，Linux基金会在2021年Q3调研了全球412 家机构发现已经有82%的人熟悉SBOM、78%的组织预计在今年使用SBOM。本文将介绍SBOM基本概念、实现方式、应用场景，帮助读者通过SBOM更高效地实现安全治理目标。 什么是SBOM 根据NTIA(美国国家电信和信息化管理局)的定义，S…

近期有很多同学在找【漏洞扫描工具】，今天来推荐下这款开源组件的漏洞检测工具：使用简单、能力专业、风险展示清晰的 ide 插件“murphysec”。 它可以快速识别项目中使用了哪些存在安全缺陷的开源组件，并帮助一键修复问题。目前支持Java、Javascript、Golang、Python语言的检测，会逐步支持PHP、Ruby以及更多的开发语言。 插件使用的…

写在前面 自从和几个小伙伴一起创办墨菲安全以来，有一年半多的时间了，创业对于我来说，很有意思的一个地方，就是有机会可以和各行各业很多非常有意思的人一起交流，在这个交流的过程中能够不断的提升自己的认知，以我自己创业之前的经历来说，我接触的大多都是互联网和互联网安全这个圈子的人，而现在有很多机会去接触到更多行业的客户和合作伙伴，可以有机会去了解不同行业的业务、安…

软件中为什么会依赖开源组件？ 在软件开发的过程中，我们往往会使用一些第三方或者开源的组件，来提供一些基础的功能或者服务，从而简化开发工作，提高效率和质量。例如，我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作，如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的，它们可…

引言 随着软件开发的日益复杂和分散，软件供应链安全成为了一个重要的挑战。软件供应链指的是从源代码到最终产品的整个生命周期中涉及的所有环节，包括开发、构建、测试、部署和维护等。软件供应链中可能存在各种各样的组件和依赖项，如开源软件、第三方库、框架、工具等。这些组件和依赖项可能来自不同的来源，具有不同的许可证，存在不同的漏洞和风险。如果不对这些组件和依赖项进行有…

引言 你是否知道你使用的软件都是由哪些组件构成的？你是否了解这些组件的来源、版本、许可证和安全状况？如果你是一个软件开发者或者供应链管理者，你是否能够追踪和管理你的软件产品中包含的所有组件？在当今的软件行业，这些问题都是非常重要和紧迫的。为了提高软件供应链的透明度和安全性，我们需要一种工具来帮助我们识别、记录和共享软件组件的相关信息。这就是SBOM清单。 S…

将MurphySec代码安全检测工具集成到GitHub action中，可对每一次代码更新实时进行安全漏洞检测，并快速修复这些安全漏洞。 如果您使用过GitHub Actions 请直接按照第3步开始操作 效果图 未开启请点击Actions启用GitHub Actions 如展示如下图所示表示项目已开启Actions 进入项目页面配置Action权限 点击s…

一、功能简介 将墨菲安全代码安全检测工具集成到 GitLab CI 中，可对每一次代码更新实时进行安全漏洞检测，并快速修复这些安全漏洞。 如果您使用过 GitLab CI 请直接按照第 4 步开始操作 集成效果 二、操作步骤 2.1 部署 GitLab Runner 为了使用 GitLab 的 CI/CD 功能，我们需要在一台能够访问到 GitLab 服务的…

前言 Log4j2作为java代码项目中广泛使用的开源日志组件，它的一个严重安全漏洞对于全球的软件供应链生态来讲不亚于一场新冠病毒的影响，任何企业的代码项目沾上它都有可能给企业带来致命的安全风险。 全球新一轮的产业数字化升级对开源软件的依赖日益提升，从而催生开源生态的蓬勃发展，而开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可…

近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布，《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。 背景 2022年11月7日，GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》国家标准在京发布，作为推荐性标准将于2023年5月1日正式实施…