开源组件漏洞检测工具之 ide 插件 by 大龙

一、小伙伴的背景

大龙，一名研发经理，公司主要从事精神文明建设类相关软件开发，以及相关服务的国家级高新技术企业，主营业务包括政务软件研发和维护、政务咨询、第三方评估等。

大龙是我们非常坚定的用户，murphysec 的 ide 插件更新后第一时间就会升级并体验，同时我们之间也有了更多日常交流。非常感谢大龙能在我们产品从0-1的过程中认可工具的能力和价值，也是因为很多这样的同学，检测工具也在不断进步。

二、面临的问题

1、企业服务对象

软件业务方面自然会面临一些网络安全问题，而且他们公司主要服务对象为政府部门，由于这一点的背景对网络安全的优先级就远远高于了其他民营企业。

2、被动安全治理

• 网信办下发通知

安全的相关事项处理，主要是由当地网信办定期给到网络安全通知来进行安全修复。政府部门的通知服务通常有1-2天的滞后性，这使得时间安排和问题解决上都很被动，无法对当前软件产品的安全问题进行修复以及人员排期。

• 找到解决方案，紧急安排修复

为此只能妥协式安排安全运维人员保持关注各大云厂商定期的安全报告，或者相关安全网站的安全资讯，最终效果也并不理想。在去年log4j上面有多台主机中了勒索病毒并锁库，在这样的情况下网络安全方案被提上了议程。

3、主动安全治理

为了避免安全问题的发生，同时不再是被动接受通知，被动紧急去解决问题。在找解决方案的阶段，偶然间了解到了墨菲安全的检测工具——ide插件，插件对研发同学也非常友好。

了解该工具在开发阶段就可以对各技术栈的开源组件进行安全检测，且对每个单体项目单独存储安全报告，一切问题在开发阶段进行评估、诊断、修复，且发布后可监控定期收安全报告，正好满足了需求，一切都变得顺利。

三、使用场景

公司项目技术栈主要覆盖在Java，JS这两个大块下，MurphySec已经全部覆盖此类的安全排查。

完成测试后，推荐了所有前后端开发人员安装【MurphySec】，完整覆盖公司所有项目，且由技术客服人员统一收集整理收到的安全报告，进行半月一次的集中评估与修正。

在这种方式运作后，真正把这款安全工具的能力做到了最大化。Java栈安全风险分数也控制在300分左右，JS栈控制在30分左右。同时各位开发人员在升级组件与处理各项安全问题的过程中，职业技能也有所提升。

收到了反馈建议以及其他感谢内容，就先不放在这里啦，公司已分享传阅很开心哈哈。希望大龙的使用方式对大家日常中的使用有更清晰的理解和价值定位。如果插件使用有任何问题的话欢迎留言哦♥️

开源项目地址：https://github.com/murphysecurity/murphysec

快速了解 ide 插件：快速开始第一次检测 | 墨菲安全 - 文档