软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具 原创

背景

如今，软件供应链安全问题已经成为一个全球性的难题。根据数据统计，2017年全球遭受网络攻击的公司比例已经达到了93％，其中很大一部分是由于软件供应链安全问题导致的。而在中国，据统计，2019年全国共发生了2.7万起网络安全事件，其中不乏因软件供应链安全问题而导致的事件。

软件供应链安全问题的出现原因也较为复杂，包括第三方供应商的安全风险、源代码泄露、恶意软件等，并涉及到软件生命周期的所有环节，包括开发、测试、交付、维护等。由于软件供应链中各环节之间相互依赖，一旦其中某个环节出现安全漏洞，将会影响整个供应链，给企业带来不可估量的损失。越来越多的企业开始关注软件供应链安全问题，为了保障软件供应链的安全，许多企业都开始寻求解决方案。在这种情况下，墨菲安全应运而生。

墨菲安全是一款功能强大的软件安全检测工具，它可以对软件进行全面的安全检测和分析，帮助企业和开发者发现软件中存在的安全隐患和风险。墨菲安全可以对代码进行检测，分析软件的成分和许可证合规性等，让用户更加安心地使用软件。以下将详细介绍墨菲安全的检测工具及使用方法。

墨菲安全平台的五大产品

墨菲安全的“苏木-软件成分分析”、“京墨-源安全管理网关”、“南星-云原生容器安全”、“赤剑-许可证合规管理”、“贯众-漏洞情报预警”这五大产品，夯实了软件供应链安全平台的能力。

苏木-软件成分分析

苏木拥有行业领先的漏洞知识库，支持10min快速接入各开发流程，将代码项目存在的安全风险清晰展示，并支持IDE插件、GitHub等方式快速完成漏洞修复，轻松管理开源风险。

• 无需依赖源码，只需二进制软件包/固件即可快速检测
• 检测二进制软件包/固件中存在的漏洞、许可证类型及合规风险，并提供修复建议
• 支持多种资产识别方式：如源代码、二进制，编译包识别，覆盖全主流开发语言：如java，python，JavaScript…
• 高准动态SBOM清单分析，树状层级清晰展示组件依赖关系
• 拥有专业的漏洞库，可确定代码缺陷点及利用条件，避免误报或修复大量无法利用的漏洞
• 清晰定位缺陷组件，各版本升级兼容性评分目了然，一键修复省时省力更省心

京墨-源安全管理网关

京墨从源头卡住安全风险，安全能力左移前置，使代码安全检测用于从开发到测试的DevSecOps全流程之中。可无缝对接Nexus，Jfrog，支持黑白名单配置管理、卡位管理及制品检测，降低企业的成本和风险。

• 10分钟快速接入，深度融合DevOps，加速安全开发
• 识别官方源是否被投毒，轻松完成高风险组件的基线管理及内部二次开发引入高危组件风险管理
• 全量检测制品库，识别制品存在的漏洞、许可证合规风险及SBOM清单
• 识别构建过程中引入的高危组件及高危漏洞，提供投毒检测能力，降低后续安全成本

南星-云原生容器安全

南星可提供容器镜像管理，通过极低的接入成本、对镜像基础组件识别和容器镜像应用检测，来持续降低交付安全风险。

• 识别容器镜像中的漏洞信息并提供修复建议
• 识别容器镜像中依赖的组件的许可证类型及合规风险
• 提供完整的资产清单，理清资产间依赖关系

赤剑-许可证合规管理

赤剑会自动识别开源组件协议，来降低许可证侵权风险。目前已覆盖3000+许可证类型，可做到对精准识别及合规风险快速管理。

• 支持函数级代码片段分析，清晰展示组件依赖，高准确度覆盖
• 支持二进制及嵌入式固件检测，通过文件提取接入检测，压缩壳、安装包等，满足多种检测方式需求
• 判断许可证风险等级、合规风险及快速管理，规避产权风险

贯众-漏洞情报预警

贯众覆盖超6w+主流组件，并已全球首发多个0day预警，漏洞预警已达分钟级，从容应对安全风险。

• 最完备的漏洞知识库，助你快速响应排查
• 庞大的标准缺陷知识数据，帮你快速定位和修复
• 已成功多次预警大范围通用组件漏洞
• 全准快精的漏洞情报，90%快于同行，通告信息包含修复方案、攻击方式、攻击评估

如何使用墨菲安全来完成一次检测？

墨菲安全是一款简单易用的软件供应链安全检测工具，以下是详细的使用方法：

第一步：打开墨菲安全官方网站 - 点击进入控制台

官网地址：https://www.murphysec.com

第二步：点击创建任务 - 进入选择接入方式页面 - 选择适合你的接入方式

目前已支持“JetBrains IDE插件接入”、“GitLab快速接入”、“CLI检测接入”、“GitHub快速接入”、“源文件上传接入”等多种方式

第三步：开始进入接入配置 - 设置结果处置规则 - 设置任务执行规则

1. 选择合适的接入方式后，完成对应配置，选择检测的代码项目范围后就可以检测了（见图一）。
2. 当然也可以选择对检测结果设置处置规则，开启消息通知将会更有利于实施自动管理，只要达到预警要求将会第一时间通知各方人员（见图二）。
3. 还可选择不同检测模式、是否同时检测许可证合规分析及整个任务执行规则（见图三）。

（图一）

（图二）

（图三）

第四步：根据设置的任务执行规则进行检测 - 得到检测结果

（1）缺陷组件代表该版本的组件存在漏洞需处理，处置建议分为强烈建议修复、建议修复、可选修复3个等级来表示需处理的紧急程度；

（2）显示可一键修复的缺陷组件，可以通过IDEA或GitHub进行快速修复

（3）许可证风险：可识别组件的许可证类型，判断是否存在冲突风险；

（4）支持显示完整SBOM清单，可以切换树状/列表展示，并支持导出；

（5）支持多种分享方式，及时同步每一个风险给团队。

以上就是墨菲安全检测工具的使用介绍。

最后，附上流程图方便理解：

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。核心能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等，丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。

墨非安全为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。产品支持SaaS、私有化部署，目前已服务多家互联网、金融、人工智能、IOT行业头部企业客户，目前墨菲安全已经服务包括蚂蚁、平安、快手等在内的数百家企业客户。

官网地址：https://www.murphysec.com/

开源项目：https://github.com/murphysecurity/murphysec

首发地址：https://www.murphysec.com/blog/product-presentation/4756.html

转载请注明出处