请教大家两个问题。贵公司是否会在饮用超市的一桶水之前对其进行测试?你会担心水被毒化吗?贵公司的程序员从GitHub上克隆一个开源项目或组件,引入在线项目代码中运行。您是否担心安全漏洞?担心软件中毒?开源技术的应用已经成为新一轮产业数字化升级的核心驱动力。“拥抱数字时代,激活数据要素潜能,推进网络强国建设,加快数字经济、数字社会、数字政府建设,以数字化转型带动生产方式和生活整体发展。”方法和治理方式的转变。”这是国家“十四五”规划关于加快数字化发展、建设数字中国的第五章。在数字化转型过程中,企业和社会组织对供应链软件的需求越来越大,其中无论是开源软件还是闭源商业软件都开始大量引入,这些供应链软件的引入无疑带来了更多以及更多企业潜在的安全威胁,开源软件已被企业广泛引入,据统计,2020年开源项目数量较2015年增长近两倍,中国88%以上的企业都在使用开源技术开源代码在软件代码中的占比从2015年的不足40%上升到2019年的70%以上,大大提高了开发效率,加快了创新步伐。软件供应链攻击已成为国家和企业面临的主要威胁开源技术应用,国际形势复杂,软件供应链多元化。供应链各环节的攻击急剧上升。软件供应链安全风险已成为企业和组织面临的主要安全威胁。.当前开源软件生产、发行、使用全过程缺乏有效的风险管理和生态治理能力,导致近年来全球范围内重大软件供应链安全事件频发,这无疑给稳定带来了极大的不确定性。企业的发展。.2020年12月,SolarWinds软件更新包中的后门导致客户受到威胁。这一事件影响了包括美国国家安全局和美国能源部在内的数千家机构。2021年3月,研究人员利用“供应链”漏洞(一种抢注内部组件名称的方法)成功入侵了35家重要公司的内部系统:包括微软、苹果、PayPal、Shopify、Netflix、Yelp、Tesla和优步。2021年12月,log4j2漏洞爆发。MurphySecurityLab对log4j2的1-4层依赖进行了统计分析,发现共有超过173,104个组件受该漏洞影响。2022年3月,墨菲安全实验室连续两天发布全球首个Spark&HadoopRCE漏洞和SpringCloud表达式注入漏洞预警;紧接着,蚂蚁安全研究人员在Spring框架中发现了一个远程命令执行漏洞。这些只是具有非常大影响的事件和漏洞。此外,每天新曝光的通用组件漏洞也有几十到上百个。这些都是企业所依赖的供应链软件的潜在漏洞。威胁。我们在这背后看到的是一种与新冠病毒一样具有高传染性、致死性、变异性的安全威胁,但不同的是,新冠病毒会影响人体,而这些漏洞会影响到世界上的任何访问。数字化企业。关于我们和墨菲安全墨菲安全的创始团队成员均来自百度、华为、壳牌的企业安全建设团队。十年来,大家都在从事企业安全建设的工作。不管在哪个公司,我们每个人都经历过太多深夜的“安全事件应急响应”和“漏洞分析”。当然,我们经常因为修bug而和研发同学撕X。十年来,3000多个日日夜夜,我们几乎每天都在和代码、bug打交道。我们也渴望每一位工程师制作的软件都像我们今天喝的矿泉水一样安全健康。我们不必对购买的每一瓶水都心惊胆战地进行“安全评估”。软件供应链能否像传统矿泉水生产的供应链一样安全可靠,让每一次开发都可以更安全地使用开源代码,让每个企业都可以安全地管理软件供应链。这样做是我们最初的想法。在MurphySecurity早期(大约2020年5月,这个开源项目上线的时候),其实还有一个名字叫gokusec。后来我们发现这个名字好像被其他公司使用了。所以更名为MurphySafe。在这个过程中,我们一直在思考的一个问题是:如何为软件供应链生态建立有效的治理安全能力,我们能做些什么?不知道大家有没有想过,在新冠疫情爆发的时候,如果没有核酸检测这样的工具会怎样?大概是因为我们不能及时发现谁得了新冠,身边的人不能及时有效地防控,患病的人得不到及时有效的救治。今天建立的所有防控机制,其实都是一句空话。开源组件应用广泛,依赖关系非常复杂,这使得开源软件的漏洞实际上就像新冠病毒一样,具有很强的传染性、致死性和变异性。貌似我们首先缺的是开源软件漏洞检测的核酸工具?它应该具有良好的准确性、易用性和低成本,而这正是MurphySecurity推出的开源项目murphysec的核心理念,为每一位软件开发者提供一个易用、专业、高效的代码安全检测工具,当然,如果他还有特殊药剂的作用,那就更好了。关于muphysecMuphysec是MurphySecurity开发的一款开源软件安全检测工具,致力于让每一位开发者更安全地使用开源代码。产品特点:易用性、专业性和创新性。暂时就这些,先上链接(欢迎issues、PR、star):开源地址:https://github.com/murphysecurity/murphysec产品官网:https://www.murphysec。com/核心功能1.Assay:准确识别直接和间接依赖于软件的开源组件2.Seeingadoctor:准确识别这些开源组件中的安全漏洞和许可合规风险3.Treatment:为开发者提供简单高效的解决方案-单击缺陷修复功能。支持语言:目前支持Java、JavaScript、Golang、Python语言项目,后续会逐步支持其他开发语言。检测原理对于使用不同语言/包管理工具的项目,工具主要通过项目构建或者直接解析包管理文件来准确获取项目依赖信息。项目依赖信息会上传到服务器,基于墨菲安全持续维护漏洞知识库,识别项目中存在安全漏洞的依赖说明:该工具只会将检测到的项目的依赖和基本信息发送到MurphySecurity服务器识别具有安全漏洞的依赖项,并且不会上传任何本机代码。安装访问GitHubReleases页面下载最新版本的MurphySecurityCLI,或执行以下相关命令:installonLinuxwget-qhttps://s.murphysec.com/install.sh-O-|/bin/bashonOSX安装curl-fsSLhttps://s.murphysec.com/install.sh|/bin/bashInstallpowershellonWINDOWS-Command"iwr-usebhttps://s.murphysec.com/install.ps1|iex"使用执行murphysecscan[your-project-path]完成检测启动并查看结果执行命令添加--json参数,可以输出Json格式的检测结果进行查看,也可以直接在墨菲安全平台查看详细检测结果查看依赖信息查看检测结果(提供处理建议、缺陷组件最低修复版本、丰富的漏洞信息)IDE检测插件是基于MurphySecurity开源检测工具开发的IDE插件,帮助开发者检测IDE中的代码依赖安全问题,轻松识别代码中使用了哪些存在安全漏洞的开源组件,通过精准的修复方案和一键修复功能快速解决安全问题。插件官方地址:https://plugins.jetbrains.com/plugin/18274-murphysec-code-scan支持功能性漏洞检测:检测Java(Maven)、JavaScript(npm)、Go代码中引入的缺陷组件。一键修复:不仅有明确的修复方案,还可以通过该功能快速修复。实时检测:代码依赖变化导致安全问题,不用担心,插件会及时提醒处理。安装并在IDE插件市场搜索“murphysec”查看详情和安装,选择“点击开始扫描”检测代码中存在哪些安全缺陷组件。点击检测结果中的元器件,可以查看不良元器件的基本信息。将组件升级至“最低修复版本”详细说明可查看文档更多使用场景1.GitLab代码库检测工具基于MurphySecurity开源检测工具开发,可帮助您快速检测上所有项目企业版GitLab工具地址:https://github.com/murphysecurity/murphysec-gitlab-scanner功能自动拉取GitLab上的代码进行检测支持增量代码检测(基于GitLabWebhook功能)使用拉取工具的最新代码来检测执行命令python3scan_all.py-A[你的gitlab地址]-T[你的gitlab令牌]-t[你的murphysec令牌]参数说明-A:指定你的GitLab服务地址-T:指定你的GitLab个人访问令牌-t:指定你的MurphysecAccountaccesstoken2.Jenkins集成安全检测能力可以将MurphySecurity开源检测工具集成到Jenkins中,提高在线代码安全质量集成方式1.安装MurphySecurity开源检测工具在Jenkins机器上安装MurphySecurity开源对于最新版本的检测工具,访问GitHubReleases页面下载,或者执行以下命令:wget-qhttps://s.murphysec.com/install.sh-O-|/bin/bash2.在Jenkinsglobalcredentials中设置JenkinsglobalcredentialsAddMurphySecurityAccessToken3.修改Jenkinsfile为了将MurphySecurityOpenSourceDetectionTool添加到管道中,需要在Jenkins中添加在文件中添加一个阶段,示例如下:--日志级调试'}}}}
