murphysec的博客

先抛出两个问题你们公司从超市买一桶水回去，喝之前会做检测吗？会担心水被人下毒吗？你们公司的程序员从 GitHub 上 clone 一个开源项目或者组件，引入到线上项目代码中运行，你会担心有安全漏洞吗？会担心软件投毒吗？开源技术的应用成为驱动新一轮产业数字化升级的核心动力“迎接数字时代，激活数据要素潜能，推进网络强国建设，加快建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革。”这是国家“十四五”规划中第五篇关于加快数字化发展，建设数字中国中明确提出的规划.

非常感谢用户水妖的内容投稿！背景我是一家互联网公司的 DevOps 工程师，平常负责公司服务的上线发布流程。我和墨菲安全的这款开源的漏洞检测工具结缘，主要是因为前段时间log4j2 的漏洞，最近我们公司的研发频繁的上线基本上都是修复 log4j2 的漏洞，我被他们整烦了。就找他们研发的负责人讨论是不是能够在上线前集成一些自动化的工具来检测这样的漏洞，比如 log4j2 或者 fastjson 类似这样的问题。经过一番调研，公司刚好有几个研发正在用墨菲安全的IDE插件，我看他也有一个命令行的工具，可.

Murphysec Code Scan 是墨菲安全推出的一款 JetBrains IDE 插件，让开发者在 IDE 中直接检测代码依赖的安全问题

本文来自用户南瓜投稿去年log4j漏洞爆发时候就已经很痛苦了，当时把所有的线上服务排查了一遍。没想到这都已经过去3个月了，上周又遇到了一个服务仍在使用低版本，被外部攻击，有点受伤。这件事后，老板让我全量扫一遍我们的代码库，看还有哪些服务还在用老版本的log4j，统一推一波修复，防止后续在发生此类事件。方案调研方案一（放弃）当时我第一反应是写个脚本，遍历所有项目，再拉取项目到本地，通过正则匹配的方式识别代码中是否使用了log4j，并提取版本，并根据版本号判断是否有漏洞。但后面想了下，这个漏洞检测.

当新鲜事物产生时，首先我们应该积极的态度去拥抱它，但是它是不是真的值得我们投入（包括当下工作和未来个人技术成长），就需要客观的分析其必要性，同时结合自身情况了解它的可行性。开源安全治理方向是近几年经济下行周期中企业为数不多大家关注的热门方向，也是当前企业面临的主要安全威胁，大量勒索攻击、数据泄露事件究其原因都与此有关，再加上自主可控的大背景需求下，此项需求被催生和释放就理所当然了。但是面对这样一个热门的方向，行业头部企业都在积极投入和规划，我们应该如何客观看待，开源安全治理到底是昙花一现的伪需求？

此外，对于攻击方来说，整理和收集这些开源组件通用漏洞的POC/EXP，相对来说成本很低，而且很多都已经整理成现成的攻击工具了，像今年国产的低代码开源项目Jeecg-boot出了好几个0day（老惨了），这类系统漏洞很多，并且相对来说获取成本比较低，而国内又确实有不少关基的客户在用，打起来性价比还是相当不错的，此外就是一些针对python及npm的投毒，这些攻击起来门槛比较低，说不定有意外的收获。最后，因为这些市场覆盖率高的产品，大部分关基行业的客户都会用，而且拿这些产品的0day打进去，不容易被拦截。

2023年8月9日，墨菲监控到用户名为 snugglejack_org (邮件地址：SnuggleBearrxx@hotmail.com）的用户发布到 NPM 仓库中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量，经过确认该组件包携带远控脚本，从攻击者可控的 C2 服务器接收并执行系统命令，该组件包于2023年8月10日7点 21 分从 NPM 仓库下架。

OSCS 社区共收录安全漏洞 11 个，公开漏洞值得关注的是 JeecgBoot 远程代码执行漏洞、企业微信私有化后台API未授权访问漏洞、WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)、Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)、Smartbi未授权设置Token回调地址获取管理员权限(MPS-exyg-uhi8)。Smartbi是一款商业智能应用，提供了数据集成、分析、可视化等功能，帮助用户理解和使用他们的数据进行决策。

JeecgBoot是一款开源的企业级低代码平台，提供了表单、视图、流程等一键生成代码功能，目前在GitHub具有 35.5k star。

2023 年 7 月 18 日晚 19:30，软件供应链安全技术交流群（OSCS）组织了第一次线上的闭门研讨会，本次研讨会我们收到 71 个来自各个企业关注软件供应链安全的技术专家的报名，根据研讨会参与规则要求，我们对报名人员进行了审核，最终来自互联网、金融、运营商、软件厂商、国央企超过 35 名安全专家参与了当晚的研讨会

将 MurphySec 代码安全检测工具集成到 GitLab-CI 中，可对每一次代码更新实时进行安全漏洞检测，并快速修复这些安全漏洞

将 MurphySec 代码安全检测工具集成到 GitHub Action 中，可对每一次代码更新实时进行安全漏洞检测，并快速修复这些安全漏洞

当前，PyPI仓库中涉及的python包已经下线，gplayit中的back-effort.at.ply[.]gg:50555服务已经关闭，replit中thughunter的服务未开启。投毒者 dreamyoak 利用了 https://discord.com/、https://replit.com/、https://playit.gg/ 等平台托管其恶意文件、作为信息收集的后端服务、命令控制的信道，其母语可能是韩语/朝鲜语。该木马利用playit.gg作为C2服务，降低成本，隐藏其身份。

墨菲安全实验室在持续监测开源软件仓库中的投毒行为，4 月 14 日起陆续发现至少 41 个包含白蛇（White Snake）后门的 Python 包被发布到 PyPI 仓库，目前相关的后门包仍在持续发布。

每个软件都存在供应链，然而现代软件大部分代码都是开源的，这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节，安全漏洞可能随时出现，因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略，为开发者、企业的安全建设带来思考和建议。

以ChatGPT为代表的通用大模型在迅速发展，软件的开发模式、产品形态正在因为AIGC的崛起而发生改变，软件产业可能迎来一次革新。AI将成为软件供应链中的重要组成部分，随之而来在用于应用开发的过程中可能引入各种安全及合规风险，包括：漏洞代码的引入；模型可能由于训练数据的偏差或在使用过程中受到提示符注入的攻击，导致输出的结果被投毒干扰；其本身可能存在后门指令，一旦被开启则可能成为特洛伊木马大杀四方；在数据隐私保护上，AI模型还是黑箱式的存在，在训练、使用交互的过程中隐私数据存在泄漏风险；

Gartner认为软件供应链攻击是2022年的主要的威胁来源，有人将2022年称为软件供应链安全元年，是新上任CIO的首要工作，越来越多开发者、安全研究人员在关注软件供应链安全。我们通过梳理漏洞和开源组件数量变化、相关的漏洞风险事件、法规和标准、产品能力关注点，来对软件供应链安全这一领域进行回顾。可以看到：新出现的漏洞和开源组件的数量都在增长中国有6个针对特定行业的信息安全管理法规中涉及软件供应链，软件供应链安全的标准与指南在加速，美国、新加坡、欧盟、英国也相继发布了软件供应链安全建设计划、指南。

蚂蚁从供应链相关的风险来区分供应链安全，对我们实际的业务造成了安全影响，就把它定为一个供应链安全相关的范畴。蚂蚁当前最大供应链风险：代码的直接或间接依赖、三方软件。直接依赖源代码代码的直接依赖运行时系统软件容器镜像及OS底层硬件设备间接依赖研发工具、平台代码的间接依赖制品下载分发平台人、角色制品更新平台次间接依赖人所处物理环境人使用的设备人所在网络环境间接依赖的上下游……

11月以来信息通信软件供应链安全社区开展了“软件供应链优秀成果案例”征集评审活动，在 12 月 16 日的结果公示中，墨菲安全软件供应链安全管理平台本次成功入选自主研发创新成果。这是对墨菲安全长期专注在软件供应链安全领域的成果认可，我们也将加强行业技术交流分享，持续推出优秀产品和实践成果，助力我国软件供应链安全治理水平的高质量发展。

近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布，《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。

十二年的企业安全建设、安全社区白帽子、开发者，先后在百度、贝壳负责过企业安全建设 ，现在负责墨菲安全和 OSCS 社区，专注于软件供应链安全方向。

本次分享由墨菲安全联合创始人&研发负责人宇佰超于 9 月 26 日快手安全沙龙中分享，本次主题《软件供应链安全体系、方法与落地》，文末附本次分享视频链接，欢迎大家查阅分享，如有任何欢迎联系我们一起交流讨论～随着国家 IT 及信息化的推广与普及、IT 行业的快速发展，软件供应链体系愈发的成熟。企业软件开发与信息化建设过程中，涉及与使用到的供应链比重越来越高。然而高占比的供应链软件的使用，再提升工程效率的同时，势必带来更多的软件供应链安全风险。

近期美国和欧盟都发布了新的供应链安全相关要求法案，要求厂商评估供应链数字化产品的安全性，此举旨在保护供应链安全，防止SolarWinds 等安全事件的再次发生。美国和欧盟在各自的法案都提到了软件安全检测，软件物料清单(SBOM)等内容，这意味着通过强制性的网络安全法规要求，企业必须通过披露SBOM、源代码安全检测等手段提升数字化产品安全性，才能继续正常地销售提供数字化产品。美国白宫在9月14日发布了题为《》的备忘录。该备忘录要求供应商产品需提供安全自我证明。

昨天看到一个朋友给我发了一篇文章，某友商也发布了一款关于代码安全检测的 IDE 插件，其中UI和代码特征上，与我们的插件有一些的地方。于是我们也简单做了一些分析：UI 对比，icon好像是一样的？......

关于软件供应链安全，整体认为是处在一个风险和关注度都比较高的状态。可预见的是在接下来的一段时间风险还会持续。想要高效的去解决这些风险，核心依赖的是能够支撑各个场景的这种检测和修复的工具，以及说像漏洞组件这样丰富的知识库数据。在 IOT 领域，尤其需要关注风险的前置解决，否则整个治理的效果效率会比较低，成本也会比较高。...

它可以快速识别项目中使用了哪些存在安全缺陷的开源组件，并帮助一键修复问题。目前支持Java、Javascript、Golang、Python语言的检测，会逐步支持PHP、Ruby以及更多的开发语言。

如何了解项目的风险分数和安全质量？由于近期以来发生了不少开源组件的安全事件，像是PyPI官方仓库遭遇150+恶意包疯狂投毒、PyPI官方仓库遭遇挖矿，GitLab远程代码执行漏洞，Apache多个项目漏洞等等，与此同时我们的插件也迎来了巨大升级，最强版本3.0！插件市场搜索🔍“murphysec”，即刻体验！............

6月21日，海淀区举办中关村科学城重点项目签约发布活动。本次活动主要围绕关键核心技术“揭榜挂帅”等3项落实、中关村新一轮先行先试改革措施、2项加速医药健康产业发展措施发布、全国首个临床医学概念验证中心揭牌以及24个中关村科学城重点项目集中签约等内容为主，为全力以赴推动复工复产、用好用足中关村新一轮先行先试改革红利。 海淀区委书记王合生，区委副书记、代区长李俊杰，区委常委、政法委书记、区委办主任吴计亮，区委常委、副区长林剑华等区领导，签约企业及单位负责人，区属各委办局负责人出席活动。（区委副书记、代区长李俊杰

Ghost 是以Node.js语言开发的一款开源博客程序，在Github上其star为超过4万。6月15日，Ghost官方修复了一个RCE漏洞。由于Ghost调用的moment.js库，存在已知漏洞（CVE-2022-24785）导致攻击者可以通过帖子编辑器中的文件上传功能上传文件，进而执行任意代码。漏洞等级中危，利用需要攻击者获得博客后台账户权限，利用成本：高影响版本：[*, 4.48.2)，[5.0.0, 5.2.3) ，官方已在5.2.3、4.48.2版本中修复了此问题：https://github.

墨菲安全是一家专注于软件供应链安全管理的科技公司，能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等，丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。公司核心团队来自百度、华为等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。一、墨菲安全受邀参加腾讯安全云鼎实验室公开课分享2022年4月27日，墨菲安全受腾讯安全云鼎实验室邀请为腾讯的工程师们分享软件供应链安全解决方案，软件供应链由多方、多流程、多角色构成，供应者所带来.

背景SolarWinds Orion 软件更新包在2020年底被黑客植入后门，此次攻击事件波及范围极大，包括美国政府部门、关键基础设施以及多家全球500强企业，影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方，这次事件可能可以避免。为了确认软件的来源和构建方式，实现完整性保护，Linux基金会联合Red Hat、Google 和 Purdue 在 2021年3月推出了 Sigstore 代码签名项目，该项目致力于让开发人员签署发布时无感和让用户轻松验证。Sigstore 在发布

前言得益于Java的完备生态，Java一直是非常热门的编程语言。但对于刚刚接触Java的开发者来说，很少会去关注安全相关的问题，没有养成良好的开发习惯，在开发过程中容易带来安全隐患。我们在本文中总结了五条简单有效的小建议。一、及时更新依赖组件版本在Java开发中，开发者经常会用到各类开源组件来实现自己的功能点，但是许多开发者不常关注安全资讯，不了解开源组件的哪个版本存在什么样的漏洞，从而可能会引入安全漏洞。所以在选择开源组件版本的时候，应优先选择最新发布的组件，因为最新版本的组件通常都会

漏洞简述Apache IoTDB 是面向IoT场景存储时序数据的数据管理系统，具备跟Grafana、spark等系统的集成能力。4月8日，IoTDB 修复了其中 grafana-connector 模块中的 SQL 注入漏洞。由于 grafana-connector 模块中 BasicDaoImpl 类的 querySeriesInternal 方法存在拼接 SQL 语句，导致攻击者可以构造请求实现 SQL 注入。该漏洞受影响版本为 0.13.0，是上个月发布的新版本，对企业影响很小。

漏洞简述3月30日，GitLab 官方修复了CE/EE版本产品中硬编码密码导致的接管用户账户的安全问题。由于使用 OmniAuth 注册的代码逻辑中存在硬编码密码，导致账号可被攻击者直接登录。该漏洞受影响版本为 14.7.0 ~ 14.7.6，14.8.0 ~ 14.8.4，14.9.0 ~ 14.9.1，均为较高版本，且该漏洞依赖于开启 OmniAuth 注册登录（用于CAS等三方登录场景），整体对企业实际影响较小。漏洞时间线3月22日，GitLab 表示到当天还未有用户帐户遭到破坏。

Spring 新版本修复远程命令执行漏洞(CVE-2022-22965)，墨菲安全开源工具可应急排查

实验室昨天第一时间监测到的0day漏洞，目前已上线检测漏洞描述Spark 是用于大规模数据处理的统一分析引擎。​由于 Hadoop 中"org.apache.hadoop.fs.FileUtill"类的“unTar”中针对 tar 文件的处理调了系统命令去解压，造成了 shell 命令注入的风险。​攻击者可以通过该漏洞实现任意命令执行。影响产品：Apache spark发现时间：2022-03-24 11:12:38发现方式：墨菲安全实验室情报预警监控组件名称：org.apache.sp.

实验室昨天第一时间监测到的0day漏洞，目前已上线检测3月25日，墨菲安全实验室监测发现 Spring Cloud Function 修复了 Spel 表达式注入漏洞，已 2022.03.25 日17时提交CNVD，并上线检测能力。漏洞发现时间：2022-03-24漏洞验证时间：2022-03-25，已第一时间提交CNVD标题：Spring Cloud Function 3.0.0.RELEASE~3.2.2 版本SPEL表达式注入漏洞发现方式：墨菲安全实验室情报预警监控语言：ja.

因为我们本身也在做开源，所以比较关注这个问题，最近因为工作需要，总结和分析了一下关于开源许可证相关的知识，也分享给大家一起讨论，希望得到大家的指导。前言2021年12月，抖音海外版TikTok上线了一款名为TikTok Live Studio的APP，但不久其下载页面就被删除。TikTok官方对此事做出回应，原因是该APP违反GPL许可证，其使用GPL许可证下的开源软件源码，却没有按照GPL许可证要求开源。随着开源软件的发展，其数量和影响力在不断的上升。开源软件具有成本低、升级快的特点，因此

简述近日我们监测到 Vue.js 生态中的 vue-cli 包遭遇供应链投毒，而被投毒的 node-ipc 包在npm 上每周下载量超百万，影响非常广泛。被投毒的情况如下：vue-cli是Vue.js 开发的标准工具，该工具被广泛应用于vue的快速开发 其依赖的node-ipc是用于本地和远程进程间通信的一个js模块，也用于支持linux，windows，mac等系统中的socket通信。 node-ipc包的作者近期在node-ipc的10.1.1-10.1.2版本添加了恶意JS，该JS.

漏洞简述3月7日，开发者 Max Kellermann 在他的博客（https://dirtypipe.cm4all.com/）中披露了一个能导致 Linux 权限提升的漏洞，编号为 CVE-2022-0847，他称之为 “The Dirty Pipe Vulnerability” （“脏管道”漏洞）。Linux 5.10版本前的一次 commit 中，重构了匿名管道缓冲区的代码，修改了“可合并”检查的逻辑，这个修改造成了通过匿名管道覆盖任意只读文件的漏洞，攻击者可以利用该漏洞进行本地权限提升。