Java 漏洞扫描工具之 IDE 插件中墙裂建议修复的漏洞

近期有很多同学在找【漏洞扫描工具】，今天来推荐下这款开源组件的漏洞检测工具：使用简单、能力专业、风险展示清晰的 ide 插件“murphysec”。

它可以快速识别项目中使用了哪些存在安全缺陷的开源组件，并帮助一键修复问题。目前支持Java、Javascript、Golang、Python语言的检测，会逐步支持PHP、Ruby以及更多的开发语言。

插件使用的详细文档：

https://www.murphysec.com/docs/quick-start/setup/

该项目核心引擎已开源，欢迎大家star👏：

https://github.com/murphysecurity/murphysec

• IDE 插件展示

目前这款插件支持Jetbrains家族，在插件市场搜索 “murphysec” 即刻体验。

从插件市场安装并完成配置后，以下就是检测结果的呈现，不看不知道这么多风险组件，完成以下这两步 安全成就 就非常不错啦。

 

• 如何看待强烈建议修复

基于墨菲安全专家团队对漏洞的分析研判，我们筛选出了利用成本较低，同时可能造成的实际危害较大的漏洞，标记为了强烈建议修复，可以用于指导治理工作的优先级。

强烈建议修复的漏洞主要考量了以下几个维度的因素：

• 漏洞级别

• 漏洞公开的时间

• 是否有公开POC

• 是否可能直接导致数据泄漏

• 利用条件

举例来说，如果一个漏洞超过两年都没有公开poc，意味着关注度并不高，即便是高危或者严重漏洞，在真实场景中存在被利用的可能性也较低，因此在企业安全团队资源有限的情况下可以不高优先级处理，也不会被列入强烈建议修复的等级中。

1. 经过以上维度的筛选，当项目检测提示强烈建议修复的组件，插件右侧也给出了相对应的修复建议，操作简单收益大，建议研发小伙伴们可以尽快修复～
2. 其次项目风险分数根据漏洞等级和数量累加，不以组件数量计算，可以对其他漏洞数量较多的组件进行修复，提升项目整体安全性，可以看到风险分数快速降低！

如果组件修复遇到问题，也欢迎私信我们，会有专业的安全技术同学进行协助解决，让项目变得安全的第一步更加顺利，让每一个开发者能更安全的使用开源组件！