¶ 关于用户代码及其他敏感数据的保护说明

近期一些用户在咨询关于使用墨菲安全检测工具时涉及代码及隐私数据保护的问题，我们统一进行整理和说明。

问题: 使用墨菲安全 IDE插件、CLI 时是否会采集项目代码或敏感配置文件上传到墨菲安全服务端？

不会，墨菲安全检测工具仅会收集项目的依赖信息和任务基本信息上传到服务端进行风险管理及任务报告展示。

问题: 我的项目检测结果是如何存储的，是否会被分享？

墨菲安全针对您项目的检测结果，只有您自己的账号或者您团队有权限的成员账号才能查看，不会分享给其他第三方。

¶ 关于一些补充说明

如果大家对于我们的检测过程还有一些其他的担心，我们已经将检测客户端的代码进行了开源。

• 开源地址：GitHub (opens new window)| Gitee (opens new window)

¶ 我们如何对您的代码进行检测

所有的代码分析过程都在您的本地环境

整个检测过程主要分为两个环节：获取项目依赖信息、分析项目依赖存在的漏洞

¶ 1. 获取项目依赖信息（用户本地环境）

墨菲安全在检测项目存在的安全问题时，首先需要获取到项目的依赖信息。目前我们主要采用项目构建及解析包管理文件两种方式。

我们以使用 Maven 作为构建工具的项目为例：

Maven 是专门为 Java 项目打造的管理和构建工具，提供了一套标准化的构建流程和依赖管理机制

¶ 方式一：项目构建

maven-dependency-plugin是 Maven 提供的一个处理与依赖相关的插件，包含分析项目依赖的功能，可以使用 Maven 自带的命令进行操作（mvn dependency:tree）。

墨菲安全检测工具会优先尝试使用此种方式进行依赖的获取。

¶ 方式二：解析包管理文件

pom.xml是 Maven 生成的配置文件，主要用来描述项目的各种信息，其中包含了项目引入的依赖。

在无法成功通过 maven-dependency-plugin 获取项目依赖的情况下，墨菲安全的检测工具会尝试解析 pom.xml 来获取依赖。

¶ 2. 分析项目依赖存在的漏洞（服务端）

对项目依赖的安全分析在服务端进行，基于墨菲安全持续维护的漏洞知识库，可以快速识别到存在安全缺陷的依赖，并提供丰富的检测结果和修复方案。