MurphySec CLI используется для обнаружения уязвимых зависимостей из командной строки, а также может быть интегрирован в ваш CI/CD конвейер.

Функции

1. Анализировать зависимости, используемые вашим проектом, включая прямые и косвенные зависимости.
2. Обнаруживать известные уязвимости в зависимостях проекта.

Скриншоты

• Результат сканирования CLI:

  

• Страница результатов сканирования:

  

Содержание

1. Поддерживаемые языки
2. Как это работает
3. Рабочие сценарии
4. Начало работы
5. Введение в команду
6. Коммуникация
7. Лицензия

Поддерживаемые языки

В настоящее время поддерживает Java, JavaScript, Golang. Другие языки разработки будут постепенно поддерживаться в будущем.

Хотите узнать больше о поддержке языков? Ознакомьтесь с нашей документацией.

Как это работает

1. MurphySec CLI получает информацию о зависимостях вашего проекта в основном путём сборки проекта или анализа файлов манифеста пакета.

2. Информация о зависимостях проекта будет загружена на сервер, и зависимости с проблемами безопасности в проекте будут идентифицированы через базу знаний по уязвимостям, поддерживаемую MurphySec.

Примечание: MurphySec CLI будет отправлять только зависимости и основную информацию вашего проекта на сервер для идентификации зависимостей с проблемами безопасности и не будет загружать какие-либо фрагменты кода.

Рабочие сценарии

1. Для обнаружения проблем безопасности в вашем коде локально.
2. Для обнаружения проблем безопасности в CI/CD конвейере.

Узнайте, как интегрировать MurphySec CLI в Jenkins.

Начало работы

1. Установите MurphySec CLI

Посетите страницу GitHub Releases, чтобы загрузить последнюю версию MurphySec CLI, или установите её, выполнив:

Linux

wget -q https://s.murphysec.com/release/install.sh -O - | /bin/bash

OSX

curl -fsSL https://s.murphysec.com/release/install.sh | /bin/bash

WINDOWS

powershell -Command "iwr -useb https://s.murphysec.com/release/install.ps1 | iex"

2. Получите токен доступа

MurphySec CLI требует токен доступа от вашей учётной записи MurphySec для правильной работы аутентификации. Что такое токен доступа?

Перейдите на платформу MurphySec — токен доступа, нажмите кнопку копирования после токена, затем токен доступа будет скопирован в буфер обмена.

3. Аутентификация

Доступны два метода аутентификации: Интерактивная аутентификация и Аутентификация по параметрам.

Интерактивная аутентификация

Выполните команду murphysec auth login и вставьте токен доступа. Повторение команды для перезаписи старой

Параметр аутентификации

Укажите токен доступа для аутентификации, добавив параметр --token.

4. Обнаружение

Чтобы выполнить обнаружение с помощью команды murphysec scan, вы можете выполнить следующую команду:

murphysec scan [путь-к-вашему-проекту]

Доступные параметры:

• --token: укажите токен доступа;
• --log-level: укажите уровень журнала, который будет печататься в потоке вывода командной строки, по умолчанию журнал не печатается, дополнительные параметры — silent, error, warn, info, debug;
• --json: укажите вывод результата в формате JSON, по умолчанию детали результата не отображаются.

5. Просмотр результатов

MurphySec CLI по умолчанию не показывает детали результатов, вы можете просмотреть результаты на платформе MurphySec (https://www.murphysec.com/console).

Введение в команды

murphysec auth

В основном используется для управления сертификацией:

Использование: murphysec auth [команда].

Доступные команды: login, logout.

murphysec scan

В основном используется для запуска обнаружения:

Использование: murphysec scan DIR [флаги].

Флаги: -h, --help — помощь для сканирования; --json — вывод JSON.

Глобальные флаги: --log-level string — укажите уровень журнала, должен быть silent|error|warn|info|debug; --no-log-file — не записывать файл журнала; --server string — укажите адрес сервера; --token string — укажите токен API; -v, --version — показать версию и выйти; --write-log-to string — укажите путь к файлу журнала.

Общение

Свяжитесь с нашим официальным аккаунтом WeChat, и мы добавим вас в группу для общения.

Лицензия

Apache 2.0