前天是“世界读书日”，象我这样不读书，真不知道，到刷朋友圈时才后知后觉。曾经我也梦想成为知识渊博的人，现实却是“沾书就打盹”；看别人侃侃而谈也曾心生羡慕，现实却是初心梦想越来越飘渺不见，最后泯灭于路人。

      言归正传，安全防御里面非常重要的一环就是供应链安全。大家耳熟能详的事件如XcodeGhost、SolarWinds，还有各类第三方组件投毒，都是软件供应链攻击。因为我也写一些工具，经常用到第三方的控件，有开源的，也有不开源的，基本从来没有对这些控件进行过深究，也无法深究，现在回想，真有可能存在着供应链的安全隐患。几天前曾看到了一篇这方面的文章：《供应链投毒事件调查：一个免杀爱好者沦为“肉鸡”的全过程！》，直接黑吃黑。

      这里介绍个专门做供应链安全的厂商：墨菲安全和它的产品murphysec。这是墨菲安全开发的一款开源软件安全检测工具，致力于帮助每一个开发者更安全的使用开源代码。目前支持 Java、JavaScript、Golang 、Python 语言项目的检测，后续会逐渐支持其他的开发语言。

1. MurphySec CLI obtains the dependency information of your project mainly by building the project or parsing the package manifest files.

2. The dependency information of the project will be uploaded to the server, and the dependencies with security issues in the project will be identified through the vulnerability knowledge base maintained by MurphySec.

以上是它的工作原理。

下载地址：https://github.com/murphysecurity/murphysec

结合它的平台，测试了下：

murphysec scan [目录]

后台：

感觉确实还是不错的，期待加入对更多源码的检测！

    供应链安全，任重而道远，期待墨菲的一路远航。