有个小小的建议，希望增加一个参数，能直接在本地输出扫描项目全量的SBOM。感谢

公众号回复邀请码反应

Search before asking

• I had searched in the issues and found no similar issues.

Description

在存在 JDK 而不存在 maven 的环境中（或者maven环境存在问题时），如果项目中存在 mvnw（Linux上使用）、mvnw.cmd（Windows 上使用）、.mvn/wrapper/maven-wrapper.jar、.mvn/wrapper/maven-wrapper.properties 等文件时，可以执行 mvnw dependency:tree（Windows 命令）、./mvnw dependency:tree（Linux 命令）提高识别的准确性

Use case

No response

Related issues

No response

Are you willing to submit PR?

• Yes I am willing to submit a PR!

What Happened?

当前执行概率性失败，怀疑主要是墨菲官网的网络问题导致:
1：https://github.com/jiangxincode/ApkToolBoxGUI/actions/runs/7627833731
2：https://github.com/jiangxincode/ApkToolBoxGUI/actions/runs/7627678224

How to Reproduce?

No response

Anything else

No response

Murphysec Version / Ide Plugin Version

No response

建议右侧设置为可读，这样用户就可以直接复制进行搜索并进行定位

1、在使用cli命令murphysec scan的时候，有可选参数--deep，--deep参数的解释是上传源代码。请问加上deep参数之后，在远程做了什么，是否使用了某些针对代码混淆的算法？

2、对于C/C++项目，现在可以通过文件级检测的方式分析项目中包含的源码。对于不包含依赖源码C/C++项目的怎么解析呢？请问是通过正则表达式解析Makefile、CMake，还是使用CMake、Makefile的解析文本的代码？还是其他的什么方法？

3、下图是针对C语言的测试，目录下有curl-7.82.0以及nginx-1.18.0的源码。分别使用如下命令运行，加不加--deep参数似乎都没有正确分析依赖。

4、在文件inspector/file_hash_scan.go的dirScan函数中，得到目录下所有文件的路径，写入channel。请问在哈希的时候附带项目的目录结构时候有利于检测结果的准确性？

想在README.md中使用badge来展示检测结果

What Happened?

xx

How to Reproduce?

xx

Anything else

xx

Murphysec Version

v1.11.0

1、文件
log4j-core-2.14.0.jar，fastjson-1.2.80.jar，
附上链接：
https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/2.14.0/log4j-core-2.14.0.jar
https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.80/fastjson-1.2.80.jar

上述2个都是类似，murphysecurity cli没检测出maven官网标注的漏洞。

2、以log4j-core-2.14.0.jar为例，maven和murphysecurity对比截图

3、我用dependency check能检出，确认下这是否属于正常，如果正常的话，请告诉我哪里操作有误导致？
如果不正常的话，是否确认是bug?

一个提示小建议，常规思维会认为 “安全风险分数” 是 100 分为满分；

前面加个安全会容易误导人，建议改为风险分数，这样分越高就知道风险数值越大；

netty-handler

idea 中的检测

提示了最小修复版本 5.0.0 好像也不是理想的结果。

What should be changed?

网站页面变更，超链接页面不存在

2. Get access token
   MurphySec CLI requires an access token from your MurphySec account for authentication to work properly. What is an access token?
   Go to MurphySec platform - Access Token, click the copy button after the Token, then the access token is copied to the clipboard.

Please read the documents below.

• I've read the document Creating a Documentation for Murphysec

在dependencyManagement中指定了版本,所以实际使用的版本并不是其他组件间接依赖的版本.

而且通过依赖的exclusion排除后也没效果。

这种情况的正确打开方式是什么？

What Happened?

git提交的时候，取消MurphySec Scan，下次git再提交，MurphySec Scan仍然选中状态。

一此代码安全分析比较耗时，建议修复一下。

How to Reproduce?

No response

Anything else

No response

Murphysec Version / Ide Plugin Version

Murphysec version 3.0.6
IDE VERSION 2020.3.1

依赖配置如下，已经排除了protobuf-java，但是检测的结果还是提示有这个版本的jar包的漏洞

io.nats
java-nats-streaming
2.2.3


com.google.protobuf
protobuf-java

检测结果如下：

cn.hutool.cron.CronException: Scheduler already started!
at cn.hutool.cron.Scheduler.checkStarted(Scheduler.java:485)
at cn.hutool.cron.Scheduler.start(Scheduler.java:409)
at cn.hutool.cron.CronUtil.restart(CronUtil.java:196)
at com.murphysec.services.MessageChannelService.Listener(MessageChannelService.java:61)
at com.murphysec.services.InitStartActive.runActivity(InitStartActive.java:35)
at com.intellij.ide.startup.impl.StartupManagerImpl.runStartupActivity(StartupManagerImpl.kt:311)
at com.intellij.ide.startup.impl.StartupManagerImpl.runActivityAndMeasureDuration(StartupManagerImpl.kt:290)
at com.intellij.ide.startup.impl.StartupManagerImpl.access$runActivityAndMeasureDuration(StartupManagerImpl.kt:62)
at com.intellij.ide.startup.impl.StartupManagerImpl$Companion$addActivityEpListener$1$extensionAdded$1$1.run(StartupManagerImpl.kt:74)
at com.intellij.openapi.progress.impl.CoreProgressManager.lambda$runProcess$2(CoreProgressManager.java:189)
at com.intellij.openapi.progress.impl.CoreProgressManager.lambda$executeProcessUnderProgress$12(CoreProgressManager.java:608)
at com.intellij.openapi.progress.impl.CoreProgressManager.registerIndicatorAndRun(CoreProgressManager.java:683)
at com.intellij.openapi.progress.impl.CoreProgressManager.computeUnderProgress(CoreProgressManager.java:639)
at com.intellij.openapi.progress.impl.CoreProgressManager.executeProcessUnderProgress(CoreProgressManager.java:607)
at com.intellij.openapi.progress.impl.ProgressManagerImpl.executeProcessUnderProgress(ProgressManagerImpl.java:60)
at com.intellij.openapi.progress.impl.CoreProgressManager.runProcess(CoreProgressManager.java:176)
at com.intellij.openapi.progress.util.BackgroundTaskUtil.runUnderDisposeAwareIndicator(BackgroundTaskUtil.java:365)
at com.intellij.openapi.progress.util.BackgroundTaskUtil.runUnderDisposeAwareIndicator(BackgroundTaskUtil.java:343)
at com.intellij.ide.startup.impl.StartupManagerImpl$Companion$addActivityEpListener$1$extensionAdded$1.run(StartupManagerImpl.kt:73)
at java.base/java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1128)
at java.base/java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:628)
at java.base/java.util.concurrent.Executors$PrivilegedThreadFactory$1$1.run(Executors.java:668)
at java.base/java.util.concurrent.Executors$PrivilegedThreadFactory$1$1.run(Executors.java:665)
at java.base/java.security.AccessController.doPrivileged(Native Method)
at java.base/java.util.concurrent.Executors$PrivilegedThreadFactory$1.run(Executors.java:665)
at java.base/java.lang.Thread.run(Thread.java:829)

在文件module/maven/maven.go的27行， 如果有maven环境，返回true，有maven环境才扫描依赖。skipMvnScan变量名似乎起反了。

应该设置滚动框，否则无法看到下面的jar信息

What Happened?

How to Reproduce?

直接开始检查时等待几分钟，提示

Anything else

No response

Murphysec Version / Ide Plugin Version

No response

发生了什么

使用IDEA最新版插件时，遇到了【插件认证不成功】的报错提示Bug

环境

标准Win10
IDEA版本： IntelliJ 2021.2.2 Ultimate Edition
插件版本： 插件市场最新版（2023年5月14日-IDEA内置官方市场）

Bug复现过程

1、从MarketPlace，下载【MurphySec】
2、然后，点击下方工具栏图标，并跟随引导，进入【插件设置】页面。
3、个人用户，点击【快速认证】。
4、此时网页弹出，新注册一个邮箱账号。注册成功后，点击网页【认证】按钮。
5、此时，返回到IDEA，发现【服务认证】下面的输入框，已经被自动填充了 若干星号字符。并且，插件弹出【认证成功】提示。
6、现在，点击下方工具栏窗口，【扫描】按钮。进行了一会儿之后，中止并提示【访问令牌已失效】。

后续排错过程

1、手动重新，在插件中，走【快速认证】了若干次，均未解决。
2、参照，插件的【解答文档】页面，没有相关内容。
3、检查，是否我自己的【代理】或【网络】问题，简单更改环境调试了一下，未果。
4、走Google和Baidu搜索，均未找到【访问令牌已失效】相关的回答帖子。
5、走GitHub的Issue，并未明显看到，类似的报错的历史Issue。

修复方式

1、后来，我尝试登录 MurphySec 官网，进入控制台。探索了一会儿。
2、发现了以下页面，都包含 【访问令牌Token】：设置页面、IDE集成的控制台说明页面
3、出于尝试心理，我手动将【访问令牌Token】，复制粘贴进了【插件设置】的【星号密码框】。
4、此时，再进行扫描，耐心等一会儿之后，发现扫描结果正常出来了。系统是86分。

• 如果“不小心”把插件从Sidebar移除了，就没办法再弄出来了，重新安装也不行（或许是我没找到正确的方法？可以在帮助文档中加一下找回的方法），没了菜单栏就不好看状态了
• 建议在控件合适的地方加上控制台超链接（ https://www.murphysec.com/control/project ），方便快速进入控制台

按照此步骤https://www.murphysec.com/docs/integrations/murphysec-jetbrains-plugin/#%E9%85%8D%E7%BD%AE%E6%8F%92%E4%BB%B6 操作显示token校验异常

第一次提示升级到2.13第二次才会升级到2.17，可能是bug，理论上应该一次性升级到2.17

Search before asking

• I had searched in the issues and found no similar issues.

Description

在测试时发现控制台可以显示对应组件的缺陷修复方案

但是本地调用接口该修复方案字段为空

如果存储扫描结果，该字段的作用还是比较重要的

Use case

No response

Related issues

No response

Are you willing to submit PR?

• #76

检测了好几个项目，得到的结论都是很安全，没有漏洞

业务方不提供源码，只给jar包的场景

控制台的数据可以清理吗？

Search before asking

• I had searched in the issues and found no similar issues.

Description

Will you add language support?

Use case

No response

Related issues

No response

Are you willing to submit PR?

• Yes I am willing to submit a PR!

What Happened?

https://github.com/jiangxincode/ApkToolBoxGUI?tab=readme-ov-file
墨菲的Badge图标大概率显示不出来，其它厂商的都可以正常显示。

How to Reproduce?

No response

Anything else

No response

Murphysec Version / Ide Plugin Version

No response

后续有计划支持gitlab么？

What Happened?

使用 3.0.1 时，输出到文件中的内容与控制台不同，比如文件中的内容比控制台少最后一段

How to Reproduce?

扫描命令：murphysec-windows-amd64.exe scan "E:\IdeaProjects\xuxiaowei-cloud" --log-level info --write-log-to murphysec.log
项目：http://gitee.com/xuxiaowei-cloud/xuxiaowei-cloud

Anything else

No response

Murphysec Version / Ide Plugin Version

3.0.1

项目使用dependencyManagement统一管理版本号，但扫描的时候仍然会将其他依赖包的其它版本扫描出来，最典型的就是fastjson扫描出来6个版本，但实际使用的版本1.2.83

请问CLI是否收费

What should be changed?

看介绍不是支持Jenkins的CI集成么？ 根据说明介绍中的链接到官网中 没有这块儿的说明介绍了。

Please read the documents below.

• I've read the document Creating a Documentation for Murphysec