昨天看到一个朋友给我发了一篇文章,某友商也发布了一款关于代码安全检测的 IDE 插件,其中UI和代码特征上,与我们的 MurphySec Code Scan 插件有一些非常相似的地方。于是我们也简单做了一些分析:
UI 对比,icon好像是一样的?
友商 IDE 插件代码中出现的murphysec字样,而且友商的插件里面并没有看到快速认证这个功能,可能是后端不支持,但是代码又没删除干净?
竟然出现了我们的腾讯云 cos 地址,不会把我们的客户端下载到他们客户那边去了吧
综上判断,应该是友商直接大面积把我们代码复制粘贴过去用了,然后有一大部分功能可能自己后端能力支持不了,所以就做了一个阉割版。
思考与决定看到这样一个事情,我们内部也是有点哭笑不得,一方面我们非常开心看到有更多的人参与到软件供应链的安全治理当中来,因为这是一个非常复杂且需要整个社区去协同的事情,也说明我们最近半年做的一些工作也得到了大家的一些认可;另外一方面呢,我们其实还蛮纠结,如果这样去复制粘贴代码,整一个不是很成熟的产品推向市场推向用户,可能会影响用户对于软件供应链安全治理的热情(软件供应链安全治理并不是一件很容易的事情),对用户并不是一个好事。
所以我们内部讨论后,做了一个愉快的决定:把我们的 IDE 插件的代码全部开源出去,让更多的开发者和合作伙伴,包括友商能够快速的集成我们的能力去面向用户提供自己个性化的产品。我们内部正式启动这块的开源准备工作,预计 10月份会正式发布开源。另外我们的核心检测客户端代码已经开源了,大家如果有需求可以先集成起来,也欢迎给我们多提 issues,如果觉得还不错的话也可以给我们点star。
墨菲安全开源代码安全检测工具 murphysec
GitHub地址:https://github.com/murphysecurity/murphysec
最后,也给大家介绍下我们近期发布的IDE插件3.0版本的一些新的功能,这些也都是近期大量用户都一直在给我们反馈的需求。希望友商需要的话也尽快更新一波吧~
了解 IDE 插件Murphysec Code Scan 是由墨菲安全发布的一款代码安全检测 IDE 插件,可以帮助开发者在代码编写环节发现安全漏洞,同时提供快速修复功能进行非常低成本的漏洞修复。
目前支持Java、Go、JavaScript、Python、PHP等主流开发语言
安装方式:JetBrains IDE 插件市场中搜索“murphysec”即可快速安装
1、项目的安全风险评分
- 根据项目中不同级别风险的漏洞,现在我们会计算出对应的分数,分数越高说明项目存在的安全风险越大,听说你的项目安全风险是0分?
2、分享报告
- 帮助其他成员一起了解项目安全状况,在插件中复制报告链接即可分享
3、忽略组件
- 点击“忽略此风险组件”,下次将不会再检测该组件的风险
4、支持更多包管理工具项目的检测
- Composer(PHP)
- Bundler(Ruby)
- NuGet(.NET/C#)
- Cocoapods(Swift/Objective-C)
当然,还有很多其他的功能,大家自己去探索吧~
,