MurphySec 是一款开源软件安全检测工具,用于在命令行检测指定目录代码的依赖安全问题,也可以基于 CLI 工具实现在 CI 流程的检测。
功能
- 分析项目使用的依赖信息,包含直接和间接依赖
- 检测项目依赖存在的已知漏洞信息
支持语言
目前支持 Java、JavaScript、Golang 语言项目的检测,后续会逐渐支持其他的开发语言。
详细的支持情况可以查看文档。
工作原理
-
对于使用不同语言/包管理工具的项目,墨菲安全的 CLI 工具主要采用
项目构建
或直接对包管理文件
进行解析的方式,来准确获取到项目的依赖信息 -
项目的依赖信息会上传到服务端,并基于墨菲安全持续维护的
漏洞知识库
来识别项目中存在安全缺陷的依赖
使用场景
- 希望在本地环境中检测代码文件
- 希望集成到 CI 环境中对代码项目进行检测