随着互联网技术的发展,对程序员来说,现在早已不是那个从轮子开始造起的时代。在大量的新需求、新功能的压迫以及标准化开发的要求下,我们会越来越多的用到各种第三方依赖、工具、组件、中间件。使用这些的初衷是希望能简便我们的开发并且在实际的使用中也确实达到的我们的目的。单随着时间的推移,随着这些依赖、组件不停的版本更迭,也势必会出现各种各样的漏洞与bug。bug还好说,大不了规避一下,但是一旦出现了十分严重的安全漏洞,就意味着我们的项目在运行时变得十分不安全。比如log4j、fastjson这种核爆级别的安全漏洞,造成各种远程无限制代码调用,这是身为菜鸟的我想都不敢想的事情。
伴随着这些高危、重大安全漏洞的出现,让我陷入的深深的思考,当初我极度信任这些第三方依赖的想法显得十分的幼稚。当我选择完全信任这些第三方依赖时,以及意味着我不仅要为我自己写出来的代码负责,还要在这些第三方依赖出现问题时,半夜起床去公司,熬夜加班进行代码调整,孤独地进行自测,提心吊胆的上线,喝杯便利蜂的豆浆白天继续上班。最重要的时,这种情况还出现了两次!!!!!!当我抚摸着自己不剩几根的秀发时,心里五味杂陈。
到底有什么办法能够避免或者最大限度的减轻这种突发情况对我的头发带来的伤害。
此时我的同学找到了我,并且向我推荐了他们公司的新产品 MurphySec Code Scan 插件
省略一些客套话,我直接提出了我最大的疑问。
大佬云集,还不收费,这简直就是一群大佬在我工位旁边给我最SPA啊,不,不是大佬,是一群坚实稳定的靠山
因为我本人是java开发,IDE用的是idea,我询问了如何使用等问题,就是简单的注册、下载idea上面的MurphySec Code Scan 插件,点击扫描依赖,轻松又方便
之后就能看到项目目前使用的依赖中存在的问题,以及对应的解决方案
目前一键修复只支持部分依赖,因为在java项目中依赖的升级可能意味着使用方式、方法的变动 ,但是墨菲安全正在朝这方面努力。
至此MurphySec Code Scan插件的使用就说完了,但是墨菲安全最让我感到贴心的事情还没有说,这也是我接下来要重点夸奖的部分,请各位耐心听我讲完。
在log4j一事后,我意识到自己的安全意识严重不足,我根本没想把心思放在这种莫名其妙的地方,因为在我看来,我使用了这些第三方依赖,我就应该处于一个类似消费者的位置上,我就是上帝。现在需要我平时对这些付出大量的时间和精力是十分不公平的事情。
而在5月23号下午,我突然收到了一封邮件,邮件的内容如下
看到这封邮件时,我意识到,在第三方依赖那里没有当成上帝,但在墨菲安全这里,我真正做了回上帝。这封邮件言简意赅的说明了漏洞信息和处置建议。你没看错,是 处置建议。在log4j事件里,如果处置漏洞还是我搜了好一会百度、看了好一会文章,才最终敢相信别人别惹提出的建议,而如今有一家公司愿意把这些都直接、简洁、快速的呈现在了我的面前。
我将邮件的内容复制出来,发给我的领导,让我直接在我领导面前好好装了一回❌,领导直夸我安全意识强,做事有条理、不仅会发现问题,更会解决问题。悄悄地和我说今年的绩效给我了一个 S 。我强忍着笑容,淡定的说了句谢谢领导。
至此关于墨菲安全的MurphySec Code Scan安全插件就讲完了,希望大家能够喜欢我这发自内心的分享。等发了绩效奖金买什么好呢,哈哈哈哈哈哈哈哈哈哈哈哈哈哈。
1397
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
