什么？让每一个开源项目更安全？啊？还有IDE工具？难道是它？

背景

入编程界6年来，大大小小的安全漏洞是真滴听了不少，xxx通过日志入侵了，xxxx通过请求入侵了，等等等等。

近期fastJson又报安全漏洞，敢巧自己又“被”跳槽到了新公司，看着手里热腾腾的“毫无注释、毫无代码洁癖可言的”项目，头大，结果发现使用的json还正好是fastjson、且是fastjson漏洞版本，更是让我孰不可忍。

github --> fastjson --> 解决方案 --> 到项目解决。

赶巧，就随手看了下最近周榜上的受欢迎最高的项目，结果刚star完某个项目，我得邮箱里多了一份邮件，对你没听错，多了一份邮件。

嗯？

什么？

oscs？

让每一个开源项目更安全？

呼？

听起来好nb哦！

本人实在是太爱泡在开源的海里，不管是学习也罢，摸鱼也罢，但也一直苦恼万一用了开源的轮子，有了安全漏洞怎么办，我又没有什么地方可以“一览众漏洞”，你这么nb？让每一个开源项目更安全？借着好奇我就点进了他们的官网。

点开OSCS开源软件供应链安全社区，映入眼帘的是各大开源项目的安全缺陷数，依赖组件漏洞、还有各自订阅数、star、等级、更新类型，更新时间。



划到下边还有最新开源的一些安全数据。



看到这里，哇，我是觉得它真的用心了，想做好这件事，安全无小事，订阅关注的项目后，会有不定时的通知给到，真的是超级贴心。

就在这时，我~，发现了一个秘密。

它！

它！

它！

居然还有工具可以直接使用，哇~，太良心了吧。



接下来，重点介绍这款插件产品，MurphySec Code scan(末伏sql，丝杆，{{确信狗头}})。为了给大家演示，我又卸载了一次，呜呜呜呜~~~

1、首先打开你的ide

2、找到setting、找到插件。



3、搜索 MurphySec Code scan(末伏sql，丝杆，{{确信狗头}})。

4、点击安装。



5、剩余具体说明看这里，官方写的比我好多了，哈哈哈。

说一下实际使用感受。

优点：

插件很人性化，也很便捷。

一键扫描整个项目的安全组件漏洞，一目了然，甚至有依赖的位置。

一键修复安全漏洞，自主修复，无需向我开篇背景里一样，需要各种手动来操作处理。

还可以邀请成员一起修复。



缺点：

无法智能解决掉依赖升级后，版本更新带来的项目依赖不存在，类文件不存在，方法参数不正确等问题。

有一些公司新老项目都会依赖各种底层项目，牵一处而动全，不好项目管理。

当然博主就这些问题跟墨菲安全的 Abby 小姐姐 进行了多方面的沟通和了解。



相信他们可以做个更好，从各方面，让开发者更加低成本、少操作的去修复一个个安全漏洞。

好！

今天的安利就到这里。

MurphySec Code scan(末伏sql，丝杆，{{确信狗头}})，让你不在摸腹死干！

写在最后：

其实我一开始不知道 OSCS和墨菲安全是俩个产品。