Interfaz de Bugsy, una herramienta de línea de comandos para la corrección automática de vulnerabilidades de seguridad.
Bugsy: Seguridad de código simplificada.

Bugsy: CLI para Corrección Automática de Vulnerabilidades de Seguridad en tu Código

Bugsy es una herramienta de interfaz de línea de comandos (CLI) que proporciona la corrección automática de vulnerabilidades de seguridad para tu código. Es la versión community edition de Mobb, la primera herramienta de corrección automática de vulnerabilidades de seguridad agnóstica del proveedor. Bugsy está diseñada para ayudar a los desarrolladores a identificar y solucionar rápidamente las vulnerabilidades de seguridad en su código.

Captura de pantalla de la interfaz de usuario de Bugsy mostrando la corrección de una vulnerabilidad de inyección SQL.
Bugsy: Facilita la corrección de vulnerabilidades.

¿Qué es Mobb?

Mobb es la primera herramienta de corrección automática de vulnerabilidades de seguridad agnóstica del proveedor. Incorpora los resultados de SAST de Checkmarx, CodeQL (GitHub Advanced Security), OpenText Fortify y Snyk y produce correcciones de código para que los desarrolladores las revisen y las confirmen en su código.

¿Qué hace Bugsy?

Bugsy tiene dos modos: Scan (no se necesita informe SAST) y Analyze (el usuario debe proporcionar un informe SAST pregenerado de una de las herramientas SAST compatibles).

Scan

  • Utiliza las herramientas CLI de Checkmarx o Snyk para ejecutar un análisis SAST en un repositorio GitHub/GitLab/ADO de código abierto dado.
  • Analiza el informe de vulnerabilidad para identificar los problemas que se pueden remediar automáticamente.
  • Produce las correcciones de código y redirige al usuario a la página del informe de corrección en la plataforma Mobb.

Analyze

  • Analiza un informe de vulnerabilidad de Checkmarx/CodeQL/Fortify/Snyk para identificar los problemas que se pueden remediar automáticamente.
  • Produce las correcciones de código y redirige al usuario a la página del informe de corrección en la plataforma Mobb.

Descargo de responsabilidad

Esta es una versión community edition que solo analiza repositorios públicos de GitHub. El análisis de repositorios privados está permitido durante un tiempo limitado. Bugsy no detecta ninguna vulnerabilidad en tu código; utiliza los hallazgos detectados por las herramientas SAST mencionadas anteriormente.

Uso

Puedes ejecutar Bugsy simplemente desde la línea de comandos, usando npx:

npx mobbdev

Esto te mostrará la ayuda de uso de Bugsy:

Bugsy - Corrección automática de vulnerabilidades de confianza 🕵️‍♂️

Uso:
mobbdev <comando> [opciones]


Comandos:
  mobbdev scan     Analiza tu código en busca de vulnerabilidades, obtén correcciones automáticas de inmediato.
  mobbdev analyze  Proporciona un informe de vulnerabilidad y el repositorio de código correspondiente, obtén correcciones automáticas de inmediato.

Opciones:
  -h, --help  Mostrar ayuda                                                                                        [booleano]

Ejemplos:
  mobbdev scan -r https://github.com/WebGoat/WebGoat  Analiza un repositorio existente

Hecho con ❤️ por Mobb

Para ejecutar un nuevo análisis SAST en un repositorio y obtener correcciones, ejecuta el comando Bugsy Scan. Ejemplo:

npx mobbdev scan --repo https://github.com/mobb-dev/simple-vulnerable-java-project

Para obtener correcciones de un informe SAST pregenerado, ejecuta el comando Bugsy Analyze. Ejemplo:

npx mobbdev analyze --scan-file sast_results.json --repo https://github.com/mobb-dev/simple-vulnerable-java-project

Bugsy generará automáticamente una corrección para cada vulnerabilidad compatible identificada en los resultados y remitirá al desarrollador para que revise y confirme las correcciones en su código.

Para ver todas las opciones que permite Bugsy, utiliza los comandos Scan o Analyze con la opción -h:

npx mobbdev scan -h
npx mobbdev analyze -h

Uso de Bugsy como parte de una canalización de CI/CD

Si utilizas análisis SAST como parte de la canalización de CI/CD, Bugsy se puede agregar fácilmente y proporcionar una corrección inmediata para cada problema detectado. Aquí tienes un ejemplo simple de una línea de comandos que ejecutará Bugsy en tu canalización:

npx mobbdev analyze --ci --scan-file $SAST_RESULTS_FILENAME --repo $CI_PROJECT_URL --ref $CI_COMMIT_REF_NAME --api-key $MOBB_API_KEY

Código Fuente Aquí

My Cart Close (×)

Tu carrito está vacío
Ver tienda