十分钟快速部署,为企业提供最高效可靠的软件供应链安全解决方案!
近日,GoUpSec 深入调研了14家国内开发安全“酷厂商”(包括专业厂商和综合安全厂商),从产品功能、应用行业、成功案例、安全策略等维度对各厂商开发安全产品及服务进行调研了解,4月13日正式发布了2023年中国网络安全行业《开发安全产品及服务购买决策参考》。墨菲安全凭借专业可靠的产品和技术能力,被评为开发安全“酷厂商”。
墨菲安全作为一家专注于软件供应链安全领域的创新企业,以开发者为核心,通过打造优质的产品服务体验帮助企业快速落地软件供应链安全治理能力,目前已经签约服务包括蚂蚁集团、中国电信、美团、快手、中国银行在内的数十家客户,同时墨菲安全在通过开源和提供SaaS服务的方式为上万个社区开发者提供服务,并帮助数百个顶级开源项目修复大量安全风险,获得了社区开发者的广泛认可。
写给甲方寄语:
随着企业和国家关键基础设施大量引入包括开源、闭源软件在内的外部供应链软件,这同时也带来大量的数据泄露、勒索攻击严重事件。为了积极应对这类威胁,国家层面密集出台了大量的政策及标准,各行业也在积极探索软件供应链安全的治理实践,墨菲安全作为一家国内专注于软件供应链安全方向的科技型企业,过去十年核心团队一直在百度、华为等企业负责软件开发安全方向,目前也已服务互联网、金融、运营商等大量行业标杆客户,墨菲安全依托于软件成分分析、漏洞可达性验证、一键修复及漏洞知识库相关的核心技术,可为企业提供高效可靠的软件供应链安全解决方案。
——墨菲科技 CEO 章华鹏
近年来开发安全和软件供应链重大安全事件密集爆发,Log4j漏洞、Solarwind、Kaseya、Goanywhere软件供应链攻击,“拼多多恶意软件门”,npm开源包投毒事件…无一不是影响广泛、损失巨大,甚至撬动全球网络安全产业格局的重大事件。
2023年开发安全中软件供应链安全(SBOM),SBOM(软件物料清单)是安全业界公认的遏制软件供应链风险的最佳方案之一,可以增强软件供应链的可见性,极大地便利软件组件溯源、软件产品依赖关系梳理、已知漏洞的影响范围判断、及时发现恶意软件渗透等,从而有力支撑软件供应链相关监管政策规则的落地实施。Gartner预测,到2025年,60%负责开发关键基础设施软件的组织将在其软件工程实践中强制实施和标准化SBOM,较2022年(不到20%)大幅上升。
墨菲安全产品能力围绕 SBOM 提供软件全生命周期的安全管理,从供应链资产识别管理、风险检测、安全控制、一键修复等,提供完整的开发流程安全管控能力。同时能够极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
六大产品支撑解决方案落地
1、苏木-软件成分分析
苏木拥有行业领先的漏洞知识库,支持10min快速接入各开发流程,将代码项目存在的安全风险清晰展示,并支持IDE插件、GitHub等方式快速完成漏洞修复,轻松管理开源风险。
2、京墨-源安全管理网关
京墨从源头卡住安全风险,安全能力左移前置,使代码安全检测用于从开发到测试的DevSecOps全流程之中。可无缝对接Nexus,Jfrog,支持黑白名单配置管理、卡位管理及制品检测,降低企业的成本和风险。
3、南星-云原生容器安全
南星可提供容器镜像管理,通过极低的接入成本、对镜像基础组件识别和容器镜像应用检测,来持续降低交付安全风险。
4、赤箭-许可证合规管理
赤箭会自动识别开源组件协议,来降低许可证侵权风险。目前已覆盖3000+许可证类型,可做到对精准识别及合规风险快速管理。
5、贯众-漏洞情报预警
贯众覆盖超6w+主流组件,并已全球首发多个0day预警,漏洞预警已达分钟级,从容应对安全风险。
6、静态代码扫描(SAST)
检测速度达数万行/秒、准召率95%以上、IDE插件检测能力实现安全左移、专家定制规则更适用于工作场景。
墨菲安全将在网络安全领域供应链安全方向持续深耕,为企业提供易用、专业、创新的软件开发安全解决方案,致力于成为最懂甲方、产品最好用的安全服务厂商!
使用墨菲安全的开源工具帮您快速检测代码安全
开源地址:https://github.com/murphysecurity/
产品官网:https://murphysec.com
一、墨菲安全开源CLI工具
使用CLI工具,在命令行检测指定目录代码的开源组件依赖安全问题
工具地址:https://github.com/murphysecurity/murphysec
二、墨菲安全 IDE 插件
在IDE 中即可检测代码依赖的安全问题,并通过准确的修复方案和一键修复功能,快速解决安全问题。
使用方式:
- IDE插件中搜索“murphysec”即可安装
- 选择“点击开始扫描”,即可检测出代码中存在哪些安全缺陷组件
- 点击“一键修复”,即可对检测出来的漏洞进行一键修复
三、GitLab全量代码检测
使用基于墨菲安全CLI的检测工具,快速对您的GitLab上所有项目进行检测
工具地址:https://github.com/murphysecurity/murphysec-gitlab-scanner
具体使用方式可参考项目 README
以上几种检测方式均可在墨菲安全平台上查看详细的检测结果,并可以查看项目的直接或间接依赖信息。