什么?让每一个开源项目更安全?啊?还有IDE工具?难道是它?
背景
入编程界6年来,大大小小的安全漏洞是真滴听了不少,xxx通过日志入侵了,xxxx通过请求入侵了,等等等等。
近期fastJson又报安全漏洞,敢巧自己又“被”跳槽到了新公司,看着手里热腾腾的“毫无注释、毫无代码洁癖可言的”项目,头大,结果发现使用的json还正好是fastjson、且是fastjson漏洞版本,更是让我孰不可忍。
github --> fastjson --> 解决方案 --> 到项目解决。
赶巧,就随手看了下最近周榜上的受欢迎最高的项目,结果刚star完某个项目,我得邮箱里多了一份邮件,对你没听错,多了一份邮件。
嗯?
什么?
oscs?
让每一个开源项目更安全?
呼?
听起来好nb哦!
本人实在是太爱泡在开源的海里,不管是学习也罢,摸鱼也罢,但也一直苦恼万一用了开源的轮子,有了安全漏洞怎么办,我又没有什么地方可以“一览众漏洞”,你这么nb?让每一个开源项目更安全?借着好奇我就点进了他们的官网。
点开OSCS开源软件供应链安全社区,映入眼帘的是各大开源项目的安全缺陷数,依赖组件漏洞、还有各自订阅数、star、等级、更新类型,更新时间。
划到下边还有最新开源的一些安全数据。
看到这里,哇,我是觉得它真的用心了,想做好这件事,安全无小事,订阅关注的项目后,会有不定时的通知给到,真的是超级贴心。
就在这时,我~,发现了一个秘密。
它!
它!
它!
居然还有工具可以直接使用,哇~,太良心了吧。
接下来,重点介绍这款插件产品,MurphySec Code scan(末伏sql,丝杆,{{确信狗头}})。为了给大家演示,我又卸载了一次,呜呜呜呜~~~
1、首先打开你的ide
2、找到setting、找到插件。
3、搜索 MurphySec Code scan(末伏sql,丝杆,{{确信狗头}})。
4、点击安装。
5、剩余具体说明看这里,官方写的比我好多了,哈哈哈。
说一下实际使用感受。
优点:
插件很人性化,也很便捷。
一键扫描整个项目的安全组件漏洞,一目了然,甚至有依赖的位置。
一键修复安全漏洞,自主修复,无需向我开篇背景里一样,需要各种手动来操作处理。
还可以邀请成员一起修复。
缺点:
无法智能解决掉依赖升级后,版本更新带来的项目依赖不存在,类文件不存在,方法参数不正确等问题。
有一些公司新老项目都会依赖各种底层项目,牵一处而动全,不好项目管理。
当然博主就这些问题跟墨菲安全的 Abby 小姐姐 进行了多方面的沟通和了解。
相信他们可以做个更好,从各方面,让开发者更加低成本、少操作的去修复一个个安全漏洞。
好!
今天的安利就到这里。
MurphySec Code scan(末伏sql,丝杆,{{确信狗头}}),让你不在摸腹死干!
写在最后:
其实我一开始不知道 OSCS和墨菲安全是俩个产品。
