Bugsy es una herramienta de interfaz de línea de comandos (CLI) que proporciona la corrección automática de vulnerabilidades de seguridad para tu código. Es la versión community edition de Mobb, la primera herramienta de corrección automática de vulnerabilidades de seguridad agnóstica del proveedor. Bugsy está diseñada para ayudar a los desarrolladores a identificar y solucionar rápidamente las vulnerabilidades de seguridad en su código.

¿Qué es Mobb?
Mobb es la primera herramienta de corrección automática de vulnerabilidades de seguridad agnóstica del proveedor. Incorpora los resultados de SAST de Checkmarx, CodeQL (GitHub Advanced Security), OpenText Fortify y Snyk y produce correcciones de código para que los desarrolladores las revisen y las confirmen en su código.
¿Qué hace Bugsy?
Bugsy tiene dos modos: Scan (no se necesita informe SAST) y Analyze (el usuario debe proporcionar un informe SAST pregenerado de una de las herramientas SAST compatibles).
Scan
- Utiliza las herramientas CLI de Checkmarx o Snyk para ejecutar un análisis SAST en un repositorio GitHub/GitLab/ADO de código abierto dado.
- Analiza el informe de vulnerabilidad para identificar los problemas que se pueden remediar automáticamente.
- Produce las correcciones de código y redirige al usuario a la página del informe de corrección en la plataforma Mobb.
Analyze
- Analiza un informe de vulnerabilidad de Checkmarx/CodeQL/Fortify/Snyk para identificar los problemas que se pueden remediar automáticamente.
- Produce las correcciones de código y redirige al usuario a la página del informe de corrección en la plataforma Mobb.
Descargo de responsabilidad
Esta es una versión community edition que solo analiza repositorios públicos de GitHub. El análisis de repositorios privados está permitido durante un tiempo limitado. Bugsy no detecta ninguna vulnerabilidad en tu código; utiliza los hallazgos detectados por las herramientas SAST mencionadas anteriormente.
Uso
Puedes ejecutar Bugsy simplemente desde la línea de comandos, usando npx:
npx mobbdev
Esto te mostrará la ayuda de uso de Bugsy:
Bugsy - Corrección automática de vulnerabilidades de confianza 🕵️♂️
Uso:
mobbdev <comando> [opciones]
Comandos:
mobbdev scan Analiza tu código en busca de vulnerabilidades, obtén correcciones automáticas de inmediato.
mobbdev analyze Proporciona un informe de vulnerabilidad y el repositorio de código correspondiente, obtén correcciones automáticas de inmediato.
Opciones:
-h, --help Mostrar ayuda [booleano]
Ejemplos:
mobbdev scan -r https://github.com/WebGoat/WebGoat Analiza un repositorio existente
Hecho con ❤️ por Mobb
Para ejecutar un nuevo análisis SAST en un repositorio y obtener correcciones, ejecuta el comando Bugsy Scan. Ejemplo:
npx mobbdev scan --repo https://github.com/mobb-dev/simple-vulnerable-java-project
Para obtener correcciones de un informe SAST pregenerado, ejecuta el comando Bugsy Analyze. Ejemplo:
npx mobbdev analyze --scan-file sast_results.json --repo https://github.com/mobb-dev/simple-vulnerable-java-project
Bugsy generará automáticamente una corrección para cada vulnerabilidad compatible identificada en los resultados y remitirá al desarrollador para que revise y confirme las correcciones en su código.
Para ver todas las opciones que permite Bugsy, utiliza los comandos Scan o Analyze con la opción -h
:
npx mobbdev scan -h
npx mobbdev analyze -h
Uso de Bugsy como parte de una canalización de CI/CD
Si utilizas análisis SAST como parte de la canalización de CI/CD, Bugsy se puede agregar fácilmente y proporcionar una corrección inmediata para cada problema detectado. Aquí tienes un ejemplo simple de una línea de comandos que ejecutará Bugsy en tu canalización:
npx mobbdev analyze --ci --scan-file $SAST_RESULTS_FILENAME --repo $CI_PROJECT_URL --ref $CI_COMMIT_REF_NAME --api-key $MOBB_API_KEY