工具
-
技术驱动——打造最实用的软件供应链安全工具
本文整理自 OSCS 软件供应链安全技术论坛- 欧阳强斌老师的分享《技术驱动——打造最实用的软件供应链安全工具》完整内容。 欧阳强斌 墨菲安全联合创始人、墨菲安全实验室负责人, 大家好,我是欧阳强斌,来自墨菲安全专注在软件供应链安全领域的一家创新公司。很高兴能够在这里分享我们对软件供应链安全的理解,以及我们以技术驱动的产品实践。 软件供应链安全并不新鲜 19…
-
软件完整性保护方案之Sigstore
背景 SolarWinds Orion 软件更新包在2020年底被黑客植入后门,此次攻击事件波及范围极大,包括美国政府部门、关键基础设施以及多家全球500强企业,影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方,这次事件可能可以避免。 为了确认软件的来源和构建方式,实现完整性保护,Linux基金会联合Red Hat、Google 和 …
-
Java 漏洞扫描工具之 IDE 插件以及强烈修复漏洞解释
近期有很多同学在找【漏洞扫描工具】,今天来推荐下这款开源组件的漏洞检测工具:使用简单、能力专业、风险展示清晰的 ide 插件“murphysec”。 它可以快速识别项目中使用了哪些存在安全缺陷的开源组件,并帮助一键修复问题。目前支持Java、Javascript、Golang、Python语言的检测,会逐步支持PHP、Ruby以及更多的开发语言。 插件使用的…
-
如何排查软件中的使用的开源组件清单?
软件中为什么会依赖开源组件? 在软件开发的过程中,我们往往会使用一些第三方或者开源的组件,来提供一些基础的功能或者服务,从而简化开发工作,提高效率和质量。例如,我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作,如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的,它们可…
-
如何生成一份SBOM清单
引言 随着软件开发的日益复杂和分散,软件供应链安全成为了一个重要的挑战。软件供应链指的是从源代码到最终产品的整个生命周期中涉及的所有环节,包括开发、构建、测试、部署和维护等。软件供应链中可能存在各种各样的组件和依赖项,如开源软件、第三方库、框架、工具等。这些组件和依赖项可能来自不同的来源,具有不同的许可证,存在不同的漏洞和风险。如果不对这些组件和依赖项进行有…
-
GitHub集成 MurphySec 实时代码安全检测
将MurphySec代码安全检测工具集成到GitHub action中,可对每一次代码更新实时进行安全漏洞检测,并快速修复这些安全漏洞。 如果您使用过GitHub Actions 请直接按照第3步开始操作 效果图 未开启请点击Actions启用GitHub Actions 如展示如下图所示表示项目已开启Actions 进入项目页面配置Action权限 点击s…
-
Gitlab 集成 MurphySec 实时代码安全检测
一、功能简介 将墨菲安全代码安全检测工具集成到 GitLab CI 中,可对每一次代码更新实时进行安全漏洞检测,并快速修复这些安全漏洞。 如果您使用过 GitLab CI 请直接按照第 4 步开始操作 集成效果 二、操作步骤 2.1 部署 GitLab Runner 为了使用 GitLab 的 CI/CD 功能,我们需要在一台能够访问到 GitLab 服务的…
-
在线编程 IDE =远程网络攻击?
背景: 黑客通常使用受感染的机器而不是直接从个人拥有的设备发起攻击,这使他们能够隐藏其来源。在最近的事件响应中,Profero 的事件响应团队调查了一种可能的情况,假设威胁参与者使用 Datacamp 的在线 IDE 对云基础设施发起攻击。但是,因为Datacamp、ISP 和在线 IDE 之间错综复杂的关系,使得Profero 的事件响应团队对使用云 ID…