关于Bugsy
Bugsy是一款功能强大的代码安全漏洞自动化修复工具,该工具本质上是一个命令行接口工具,可以帮助广大研究人员以自动化的形式修复代码中的安全漏洞。
Bugsy是Mobb(一款自动化安全漏洞修复工具,能够结合多种工具生成代码修复程序供开发人员审查和提交代码)的一个社区版本,也是第一个与供应商无关的自动安全漏洞修复工具,Bugsy旨在帮助开发人员快速识别和修复代码中的安全漏洞。
功能介绍
当前版本的Bugsy提供了两个功能模式,即扫描模式和分析模式。扫描模式不需要SAST报告,而分析模式下用户需提供预生成的SAST报告。
扫描模式
1、使用Checkmarx或Snyk CLI工具在给定的开源GitHub/GitLab/ADO代码库上执行SAST扫描;
2、分析漏洞报告以确定可以自动修复的安全问题;
3、生成代码修复程序并将用户重定向到Mobb平台上的修复报告页面;
分析模式
1、分析Checkmarx/CodeQL/Fortify/Snyk漏洞报告,以确定可以自动修复的问题;
2、生成代码修复程序并将用户重定向到Mobb平台上的修复报告页面;
工具要求
NodeJS
NPX
工具下载
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/mobb-dev/bugsy.git
工具使用
我们可以直接在命令行中使用npx运行Bugsy:
npx mobbdev
上述命令将会给我们显示工具的使用帮助信息:
Bugsy - Trusted, Automatic Vulnerability Fixer Usage: mobbdev <command> [options] Commands: mobbdev scan 扫描代码漏洞,生成自动化修复程序 mobbdev analyze 生成漏洞报告和相关代码库,生成自动化修复程序 Options: -h,--help 显示工具帮助信息 [boolean] Made by Mobb
工具使用样例
扫描一个目标代码库:
mobbdev scan -r https://github.com/WebGoat/WebGoat
针对目标代码库执行新的SAST扫描,并获取漏洞修复程序:
npx mobbdev scan --repo https://github.com/mobb-dev/simple-vulnerable-java-project
获取预生成的SAST报告:
npx mobbdev analyze --scan-file sast_results.json --repo https://github.com/mobb-dev/simple-vulnerable-java-project
查看工具扫描模式和分析模式的帮助信息:
npx mobbdev scan -h npx mobbdev analyze -h
以CI/CD管道使用Bugsy:
npx mobbdev analyze --ci --scan-file $SAST_RESULTS_FILENAME --repo $CI_PROJECT_URL --ref $CI_COMMIT_REF_NAME --api-key $MOBB_API_KEY
工具运行截图
许可证协议
本项目的开发与发布遵循MIT开源许可证协议。
项目地址
Bugsy:【GitHub传送门】
参考资料
Mobb - AI Security Fixes You Can Trust
