106
0
墨菲安全专注于软件供应链安全,具备专业的软件成分分析(SCA)、漏洞检测、专业漏洞库。
墨菲安全专注于软件供应链安全,具备专业的软件成分分析(SCA)、漏洞检测、专业漏洞库。
中文 | EN
墨菲安全的 CLI 工具,用于在命令行检测指定目录代码的依赖安全问题,也可以基于 CLI 工具实现在 CI 流程的检测。
CLI 运行结果
检测结果页面
目前支持 Java、JavaScript、Golang、Python、PHP、C#、Ruby、Objective-C、.NET 语言项目的检测,后续会逐渐支持其他的开发语言。
语言 | 包管理工具 | 所需文件 |
---|---|---|
Java | Maven | pom.xml |
Gradle | build.gradle, build.gradle.kts | |
Go | Go Modules | go.mod |
JavaScript | NPM | package.json, package-lock.json |
Yarn | yarn.lock, package.json | |
Python | pip | requirements.txt |
Poetry | poetry.lock | |
PHP | Composer | composer.lock |
Ruby | Bundler | Gemfile.lock, gems.locked |
.NET | NuGet | packages.lock.json |
C# | NuGet | packages.lock.json |
Objective-C | Cocoapods | Podfile.lock |
详细的支持情况可以查看文档
项目构建
或直接对包管理文件
进行解析的方式,来准确获取到项目的依赖信息漏洞知识库
来识别项目中存在安全缺陷的依赖说明:CLI 工具只会将检测项目的依赖和基本信息发送到墨菲安全服务端,用于识别存在安全缺陷的依赖,不会上传任何本地代码。
访问 GitHub Releases 页面下载最新版本的墨菲安全 CLI,或执行以下相关命令:
wget -q https://s.murphysec.com/release/install.sh -O - | /bin/bash
curl -fsSL https://s.murphysec.com/release/install.sh | /bin/bash
powershell -Command "iwr -useb https://s.murphysec.com/release/install.ps1 | iex"
CLI 工具需要使用墨菲安全账户的
访问令牌
进行认证才能正常使用。访问令牌是什么?(点击查看详情)
进入墨菲安全控制台,点击设置
- 访问令牌
目前有两种认证方式可用:命令行交互认证、命令行参数认证
执行murphysec auth login
命令,粘贴访问令牌即可。
认证后下次使用墨菲安全 CLI 无需再次执行此操作,如果需要更换访问令牌,可以重复执行此命令来覆盖旧的访问令牌。
执行检测命令时,通过增加--token
参数指定访问令牌进行认证
使用murphysec scan
命令进行检测,可以执行以下命令:
1murphysec scan [your-project-path]
可用的参数
--token
:指定访问令牌--log-level
:指定命令行输出流打印的日志级别,默认不打印日志,可选参数为silent
、error
、warn
、info
、debug
--json
:指定检测的结果输出为json,默认不展示结果详情CLI 工具默认不展示结果详情,可以在墨菲安全控制台-项目管理
页面查看详细的检测结果
murphysec auth
命令主要是管理 CLI 的认证
Usage:
murphysec auth [command]
Available Commands:
login
logout
murphysec scan
命令主要用于执行检测
Usage:
murphysec scan DIR [flags]
Flags:
-h, --help 帮助
--task-id string 指定本次检测归属的项目ID
Global Flags:
-x --allow-insecure 允许不安全的TLS连接
--log-level string 指定输出日志信息的级别, 可以为 silent|error|warn|info|debug (默认为 "silent", 不输出日志)
--network-log 打印网络数据
--no-log-file 不输出日志文件
--server string 指定服务地址
--token string 指定墨菲安全服务 Token
-v, --version 输出 CLI 版本
--write-log-to string 指定日志文件的路径
1. Windows下安装失败,提示“PowerShell requires an execution policy of 'RemoteSigned'”
Powershell默认不允许从远程加载安装脚本,需要使用管理员权限打开Powershell窗口,并执行Set-ExecutionPolicy RemoteSigned -scope CurrentUser
。随后执行安装命令即可成功。
2. 为什么我的 Java(maven) 项目检测结果依赖信息不完整?
mvn -v
查看~/.m2/settings.xml
进行配置pom.xml
文件,也可通过 mvn dependency:tree --file="pom.xml"
命令测试此项目本地是否可正常获取依赖3. 为什么检测完依赖和缺陷组件数量都是0 ?
联系并添加运营微信号,拉您进墨菲安全交流微信群
长亭科技
1.9k
7
一款足够简单、足够好用、足够强的免费 WAF。基于业界领先的语义引擎检测技术,作为反向代理接入,保护你的网站不受黑客攻击。
长亭科技
889
2
洞鉴是一款从资产视角出发,集Web漏洞扫描、主机服务漏洞扫描、基线合规检查于一体,实现资产风险闭环管理的安全评估系统。