freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Bugsy:一款功能强大的代码安全漏洞自动化修复工具
2024-02-24 00:55:40

关于Bugsy

Bugsy是一款功能强大的代码安全漏洞自动化修复工具,该工具本质上是一个命令行接口工具,可以帮助广大研究人员以自动化的形式修复代码中的安全漏洞。

Bugsy是Mobb(一款自动化安全漏洞修复工具,能够结合多种工具生成代码修复程序供开发人员审查和提交代码)的一个社区版本,也是第一个与供应商无关的自动安全漏洞修复工具,Bugsy旨在帮助开发人员快速识别和修复代码中的安全漏洞。

功能介绍

当前版本的Bugsy提供了两个功能模式,即扫描模式和分析模式。扫描模式不需要SAST报告,而分析模式下用户需提供预生成的SAST报告。

扫描模式

1、使用Checkmarx或Snyk CLI工具在给定的开源GitHub/GitLab/ADO代码库上执行SAST扫描;

2、分析漏洞报告以确定可以自动修复的安全问题;

3、生成代码修复程序并将用户重定向到Mobb平台上的修复报告页面;

分析模式

1、分析Checkmarx/CodeQL/Fortify/Snyk漏洞报告,以确定可以自动修复的问题;

2、生成代码修复程序并将用户重定向到Mobb平台上的修复报告页面;

工具要求

NodeJS

NPX

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/mobb-dev/bugsy.git

工具使用

我们可以直接在命令行中使用npx运行Bugsy:

npx mobbdev

上述命令将会给我们显示工具的使用帮助信息:

Bugsy - Trusted, Automatic Vulnerability Fixer

 

Usage:

mobbdev <command> [options]

 

 

Commands:

  mobbdev scan     扫描代码漏洞,生成自动化修复程序

  mobbdev analyze  生成漏洞报告和相关代码库,生成自动化修复程序

 

Options:

  -h,--help    显示工具帮助信息  [boolean]

 

Made by Mobb

工具使用样例

扫描一个目标代码库:

mobbdev scan -r https://github.com/WebGoat/WebGoat

针对目标代码库执行新的SAST扫描,并获取漏洞修复程序:

npx mobbdev scan --repo https://github.com/mobb-dev/simple-vulnerable-java-project

获取预生成的SAST报告:

npx mobbdev analyze --scan-file sast_results.json --repo https://github.com/mobb-dev/simple-vulnerable-java-project

查看工具扫描模式和分析模式的帮助信息:

npx mobbdev scan -h

npx mobbdev analyze -h

以CI/CD管道使用Bugsy:

npx mobbdev analyze --ci --scan-file $SAST_RESULTS_FILENAME --repo $CI_PROJECT_URL --ref $CI_COMMIT_REF_NAME --api-key $MOBB_API_KEY

工具运行截图

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Bugsy:【GitHub传送门

参考资料

https://www.mobb.ai/

https://github.com/mobb-dev/simple-vulnerable-java-project

https://bit.ly/Mobb-discord

# 代码审计 # 自动化 # 漏洞修复 # 代码安全 # 代码漏洞检测工具
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录