关于Bugsy

Bugsy是一款功能强大的代码安全漏洞自动化修复工具，该工具本质上是一个命令行接口工具，可以帮助广大研究人员以自动化的形式修复代码中的安全漏洞。

Bugsy是Mobb（一款自动化安全漏洞修复工具，能够结合多种工具生成代码修复程序供开发人员审查和提交代码）的一个社区版本，也是第一个与供应商无关的自动安全漏洞修复工具，Bugsy旨在帮助开发人员快速识别和修复代码中的安全漏洞。

功能介绍

当前版本的Bugsy提供了两个功能模式，即扫描模式和分析模式。扫描模式不需要SAST报告，而分析模式下用户需提供预生成的SAST报告。

扫描模式

1、使用Checkmarx或Snyk CLI工具在给定的开源GitHub/GitLab/ADO代码库上执行SAST扫描；

2、分析漏洞报告以确定可以自动修复的安全问题；

3、生成代码修复程序并将用户重定向到Mobb平台上的修复报告页面；

分析模式

1、分析Checkmarx/CodeQL/Fortify/Snyk漏洞报告，以确定可以自动修复的问题；

2、生成代码修复程序并将用户重定向到Mobb平台上的修复报告页面；

工具要求

NodeJS

NPX

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/mobb-dev/bugsy.git

工具使用

我们可以直接在命令行中使用npx运行Bugsy：

npx mobbdev

上述命令将会给我们显示工具的使用帮助信息：

Bugsy - Trusted, Automatic Vulnerability FixerUsage:mobbdev <command> [options]Commands:mobbdev scan     扫描代码漏洞，生成自动化修复程序mobbdev analyze  生成漏洞报告和相关代码库，生成自动化修复程序Options:-h,--help    显示工具帮助信息  [boolean]Made by Mobb

工具使用样例

扫描一个目标代码库：

mobbdev scan -r https://github.com/WebGoat/WebGoat

针对目标代码库执行新的SAST扫描，并获取漏洞修复程序：

npx mobbdev scan --repo https://github.com/mobb-dev/simple-vulnerable-java-project

获取预生成的SAST报告：

npx mobbdev analyze --scan-file sast_results.json --repo https://github.com/mobb-dev/simple-vulnerable-java-project

查看工具扫描模式和分析模式的帮助信息：

npx mobbdev scan -hnpx mobbdev analyze -h

以CI/CD管道使用Bugsy：

npx mobbdev analyze --ci --scan-file $SAST_RESULTS_FILENAME --repo $CI_PROJECT_URL --ref $CI_COMMIT_REF_NAME --api-key $MOBB_API_KEY

工具运行截图

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Bugsy：【GitHub传送门】

参考资料

Mobb - AI Security Fixes You Can Trust

GitHub - mobb-dev/simple-vulnerable-java-project

https://bit.ly/Mobb-discord