智能汽车领域的开源软件供应链安全检测工具分享

背景

我是一名后端 java 研发工程师，目前就职于一家服务于汽车行业的乙方公司，近期也是迫于甲方爸爸的压力，交付的产品需要配上产品的安全检测报告，并且给我规定了一些明令禁止的漏洞...所以我就从我大学同学那里咨询了一下关于代码安全的工具。

他是有给我推荐两个工具的，一个叫 snyk，一个是墨菲安全，这两家的客户端都尝试使用了一下，发现检测结果没什么差别，但是 snyk 是英文的，对我来说有一些不友好，所以就用墨菲的工具进行了检测，并且拿他们的检测结果做了修复，做了报告，成效还不错，达到了甲方爸爸的验收标准，所以来分享一下这个工具！

相关文档

官网：https://www.murphysec.com/

文档：https://www.murphysec.com/docs/

检测结果

检测后台：

后来发现了他们也有 IDE 的插件，所以就进行了安装，这里给大家分享一下安装的流程

插件：

安装：IntelliJ IDEA -> Preferences -> plugins -> murphysec -> install 。

认证：在底部打开 “murphysec” -> 点击“配置” ->“快速认证”跳转墨菲控制台进行认证 -> 获取到 Token 后点击 “令牌验证”。

结论：

最后就不贴我修复的图了，有些特定依赖，公司内部有版本要求，还不能随便更换，所以很不幸兄弟的项目还存在部分漏洞，但是也经过排查影响不大，而且也达到了验收标准。

PS：在发现这个工具之后，先给领导安利了一下，因为目前是免费的，而且看了文档检测是根据 pom 文件扫描的，不涉及代码信息，所以领导让我们公司小伙伴都装上了（手动狗头）。

最后还联系了他们的运营，听说在近期就会推出检测报告的功能，爱了爱了

小伙伴真是太可爱了，非常感谢他的分享哇，也欢迎有小伙伴来分享我们结识的经历❤️