murphysecurity / murphysec-jetbrains-plugin Goto Github PK

MurphySec plugin for JetBrains IDEs, identify and fix open source vulnerabilities in your project. 墨菲安全推出的一款 JetBrains IDE 插件，可以用来识别并修复项目中的开源组件漏洞

License: Apache License 2.0

jetbrains-plugin code-scanner security dependency intellij-plugin jetbrains intellij phpstorm

murphysec-jetbrains-plugin's Introduction

MurphySec Code Scan

MurphySec Code Scan 是墨菲安全推出的一款 JetBrains IDE 插件。

该插件让开发者在 IDE 中即可检测代码依赖的安全问题，轻松识别代码中使用了哪些存在安全缺陷的开源组件，通过准确的修复方案和一键修复功能，快速解决安全问题。

支持功能

目前 Murphysec Code Scan 支持的功能如下：

漏洞检测：检测 Java(Maven)、JavaScript(npm)、Go(gomod)、Python(pip) 代码中引入的缺陷组件
一键修复：不仅有清晰的修复方案，还可以通过此功能快速修复
实时检测：代码的依赖发生变化导致了安全问题，不用担心，插件会及时给您提醒进行处理

注意此插件不支持2020.1之前版本的JetBrains IDE

安装插件

打开 IDE 并进入插件市场
在插件市场中搜索 “Murphysec Code Scan”，查看详情并安装

配置插件

点击下方插件区域左侧的设置按钮，或点击引导中的服务认证
在弹窗中输入您的访问令牌，也可以点击快速认证按钮按照引导完成认证。

配置参数说明：

token：进入墨菲安全控制台，点击“个人设置”，如下图所示：

2. 企业配置 - 服务地址：如果想使用墨菲安全私有化部署的服务，请填写服务地址（如果没有，可以不填写）

如何使用

开始扫描

点击 IDE 下方菜单栏中的“MurphySec Code Scan”，选择点击开始扫描

查看扫描结果

扫描完成后会在窗口内显示结果，可以点击左侧漏洞查看详细信息

修复

点击检测结果中的组件，即可查看该缺陷组件的基本信息
点击右侧“一键修复”，即可直接将该组件升级至“最小修复版本

点击下方的一键修复按钮，即可直接将该组件升级至最小修复版本

重新扫描

点击插件左侧选项栏中的绿色开始图标，即可重新扫描

常见问题

1. 将插件从 sidebar 移除了，我要怎么检测？

点击菜单栏上的 View -> Tool Windows -> MurphySec ，插件将会重新出现在 sidebar 上

murphysec-jetbrains-plugin's People

Contributors

Stargazers

Watchers

Forkers

chncaption rassec istoliving 1u0hun forg4tsec wst021 404notfoundyc johnxiong2 18260622812 pombredanne

murphysec-jetbrains-plugin's Issues

同样的依赖不同项目结果不同

org.springframework.security.oauth:[email protected]
在不同项目，检测结果一个有漏洞，一个没提示漏洞
没oauth2漏洞的项目https://gitee.com/zlt2000/microservices-platform.git

没提示oauth有漏洞。

提示oauth有漏洞

代码提交的安全扫描关不了，关闭之后重新打开又选上了，如果是BUG请解决一下

多个项目一起如何

多个项目一起如何扫描

在goland中不能使用进行扫描go

重复检测，死循环式的给予建议

这个提示3.7

这个提示3.10

修复了最高的还是会这样提示

快速修复的方案逻辑是啥？？？

按照修复提示进行了版本升级，重新检测这个组件还是依赖了[email protected]这个有漏洞的组件，这个修复方案是怎么得出来的？？？新检测这个组件还是依赖了[email protected]这个有漏洞的组件，这个修复方案是怎么得出来的？？？

README.md

分析结果很离谱

我都已经移除了jar包，检测还是有个这个jar存在漏洞需要修复

增加侧边下拉框

建议红框处增加和右边箭头处同样的下拉框

maven引入的版本和扫描结果中提示的版本不一致

idea 插件提交扫描选中状态无法取消

取消之后，再次打开设置页面，还是选中状态

IDEA无法识别项目

在idea中，如果当前project有多个module和其他的非java的module会导致插件无法识别项目

建议增加排除项

某些问题是不需要解决或解决不了的，允许排除，否则每次检测结果都要去单独看一下。
还有就是检车结果，点击左侧树右侧显示的内容最好能选中复制，现在只能看着。

hutool的这个BUG还没修复？影响范围是 5.5.0及以上全部版本

maven**仓库在5.8.12以及之后的版本没有这个漏洞的标记了

是不是要更新下数据库？

扫描无法完成一直卡着

pom如下

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>eee</groupId>
    <artifactId>eeeeee</artifactId>
    <version>1.12.31-SNAPSHOT-S</version>

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.12.RELEASE</version>
    </parent>

    <properties>
        <java.version>11</java.version>
        <kotlin.version>1.4.10</kotlin.version>
        <spring-boot.version>2.3.12.RELEASE</spring-boot.version>
        <maven.compiler.source>${java.version}</maven.compiler.source>
        <maven.compiler.target>${java.version}</maven.compiler.target>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-mail</artifactId>
        </dependency>
        <dependency>
            <groupId>cn.bobmao.pro</groupId>
            <artifactId>expression</artifactId>
            <version>1.2.77-SNAPSHOT</version>
            <exclusions>
                <exclusion>
                    <groupId>org.springframework.cloud</groupId>
                    <artifactId>spring-cloud-starter-openfeign</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <!-- https://mvnrepository.com/artifact/commons-fileupload/commons-fileupload -->
        <dependency>
            <groupId>commons-fileupload</groupId>
            <artifactId>commons-fileupload</artifactId>
            <version>1.5</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-crypto -->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-crypto</artifactId>
            <version>5.7.3</version>
        </dependency>

        <dependency>
            <groupId>com.fasterxml.jackson.datatype</groupId>
            <artifactId>jackson-datatype-jsr310</artifactId>
        </dependency>
        <dependency>
            <groupId>org.modelmapper</groupId>
            <artifactId>modelmapper</artifactId>
            <version>2.4.4</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.26</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-jpa</artifactId>
        </dependency>
        <dependency>
            <groupId>org.bouncycastle</groupId>
            <artifactId>bcprov-jdk15on</artifactId>
            <version>1.69</version>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.22</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.18.2</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.activiti</groupId>
            <artifactId>activiti-engine</artifactId>
            <version>7.1.0.M6</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.0</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis</groupId>
            <artifactId>mybatis-spring</artifactId>
            <version>2.0.6</version>
        </dependency>
        <dependency>
            <groupId>com.github.binarywang</groupId>
            <artifactId>wx-java-mp-spring-boot-starter</artifactId>
            <version>4.2.0</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.80</version>
        </dependency>
        <dependency>
            <groupId>com.microsoft.sqlserver</groupId>
            <artifactId>mssql-jdbc</artifactId>
            <version>10.2.0.jre11</version>
        </dependency>
        <dependency>
            <groupId>com.qcloud</groupId>
            <artifactId>cos_api</artifactId>
            <version>5.6.73</version>
        </dependency>
        <dependency>
            <groupId>com.aliyun.oss</groupId>
            <artifactId>aliyun-sdk-oss</artifactId>
            <version>3.10.2</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.2.13</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/com.amazonaws/aws-java-sdk -->
        <dependency>
            <groupId>com.amazonaws</groupId>
            <artifactId>aws-java-sdk-s3</artifactId>
            <version>1.12.207</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/com.huaweicloud/esdk-obs-java -->
        <dependency>
            <groupId>com.huaweicloud</groupId>
            <artifactId>esdk-obs-java</artifactId>
            <version>3.22.3.1</version>
        </dependency>
        <dependency>
            <groupId>com.dameng</groupId>
            <artifactId>DmJdbcDriver18</artifactId>
            <version>8.1.2.141</version>
        </dependency>

        <dependency>
            <groupId>oscar</groupId>
            <artifactId>oscar-connector-java</artifactId>
            <version>1.0.0</version>
        </dependency>

        <dependency>
            <groupId>oscar</groupId>
            <artifactId>oscar-Hibernate54</artifactId>
            <version>1.0.0</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/io.minio/minio -->
        <dependency>
            <groupId>io.minio</groupId>
            <artifactId>minio</artifactId>
            <version>7.1.4</version>
        </dependency>

        <dependency>
            <groupId>org.activiti</groupId>
            <artifactId>activiti-bpmn-layout</artifactId>
            <version>7.1.0.M6</version>
        </dependency>

        <dependency>
            <groupId>org.activiti</groupId>
            <artifactId>activiti-image-generator</artifactId>
            <version>7.1.0.M6</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/com.squareup.okhttp3/okhttp -->


        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-websocket</artifactId>
        </dependency>
    </dependencies>

    <profiles>
        <profile>
            <id>office</id>
            <properties>
                <altReleaseDeploymentRepository>
                    office-releases::default::http://nexus.eeee.com/repository/maven-releases/
                </altReleaseDeploymentRepository>
                <altSnapshotDeploymentRepository>
                    office-snapshots::default::http://nexus.eeeee.com/repository/maven-snapshots/
                </altSnapshotDeploymentRepository>
            </properties>
            <repositories>
                <repository>
                    <id>office-public</id>
                    <url>http://nexus.eeeeee.com/repository/maven-public/</url>
                </repository>
            </repositories>
            <activation>
                <activeByDefault>true</activeByDefault>
            </activation>
        </profile>

        <profile>
            <id>tencent</id>
            <properties>
                <altReleaseDeploymentRepository>
                    tencent-releases::default::http://nexus.eeee.cn/repository/maven-releases/
                </altReleaseDeploymentRepository>
                <altSnapshotDeploymentRepository>
                    tencent-snapshots::default::http://nexus.eeeeee.cn/repository/maven-snapshots/
                </altSnapshotDeploymentRepository>
            </properties>
            <repositories>
                <repository>
                    <id>tencent-public</id>
                    <url>http://nexus.eeeeee.cn/repository/maven-public/</url>
                </repository>
            </repositories>
        </profile>
    </profiles>
</project>

点击快速修复-升级无反应

MurphySec消息通知: 修复失败

选中问题组件，选择快速修复，出现MurphySec消息通知: 修复失败，未找到mysql:mysql-connector-java组件5.1.30版本的定义位置

Recommend Projects

React

A declarative, efficient, and flexible JavaScript library for building user interfaces.
Vue.js

🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
Typescript

TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
TensorFlow

An Open Source Machine Learning Framework for Everyone
Django

The Web framework for perfectionists with deadlines.
Laravel

A PHP framework for web artisans
D3

Bring data to life with SVG, Canvas and HTML. 📊📈🎉

Recommend Topics

javascript

JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
web

Some thing interesting about web. New door for the world.
server

A server is a program made to process requests and deliver data to clients.
Machine learning

Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
Visualization

Some thing interesting about visualization, use data art
Game

Some thing interesting about game, make everyone happy.

Recommend Org

Facebook

We are working to build community through open source technology. NB: members must have two-factor auth.
Microsoft

Open source projects and samples from Microsoft.
Google

Google ❤️ Open Source for everyone.
Alibaba

Alibaba Open Source for everyone
D3

Data-Driven Documents codes.
Tencent

China tencent open source team.