Bandit:一款Python代码安全漏洞检测工具

2024-03-06 06:48

本文主要是介绍Bandit:一款Python代码安全漏洞检测工具,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Bandit:一款Python代码安全漏洞检测工具

工具介绍

Bandit这款工具可以用来搜索Python代码中常见的安全问题,在检测过程中,Bandit会对每一份Python代码文件进行处理,并构建AST,然后针对每一个AST节点运行相应的检测插件。完成安全扫描之后,Bandit会直接给用户生成检测报告。

工具安装

Bandit使用PyPI来进行分发,建议广大用户直接使用pip来安装Bandit。

创建虚拟环境(可选):中国菜刀

virtualenv bandit-env

安装Bandit:

 

pip install bandit

# Or if you're working with a Python 3 project

pip3 install bandit

 

运行Bandit:

bandit -r path/to/your/code

用户还可以使用源码文件直接安装Bandit,先从PyPI下载原tarball,然后运行下列命令:

python setup.py install

工具使用

节点树使用样例:

bandit -r ~/your_repos/project

examples/目录遍历使用样例,显示三行内容,并只报告高危问题:

bandit examples/*.py -n 3 –lll

Bandit还能够结合配置参数一起运行,运行下列命令即可使用ShellInjection来对examples目录运行安全扫描:

bandit examples/*.py -p ShellInjection

Bandit还支持使用标准输入模式来扫描指定行数的代码:

cat examples/imports.py | bandit –

使用样例:

 

$bandit -h

usage:bandit [-h] [-r] [-a {file,vuln}] [-n CONTEXT_LINES] [-c CONFIG_FILE]

              [-p PROFILE] [-t TESTS] [-sSKIPS] [-l] [-i]

              [-f{csv,custom,html,json,screen,txt,xml,yaml}]

              [--msg-template MSG_TEMPLATE] [-o[OUTPUT_FILE]] [-v] [-d] [-q]

              [--ignore-nosec] [-x EXCLUDED_PATHS] [-bBASELINE]

              [--ini INI_PATH] [--version]

              [targets [targets ...]]

 

Bandit- a Python source code security analyzer

 

positionalarguments:

  targets               source file(s) or directory(s)to be tested

 

optionalarguments:

  -h, --help            show this help message and exit

  -r, --recursive       find and process files in subdirectories

  -a {file,vuln}, --aggregate {file,vuln}

                        aggregate output byvulnerability (default) or by

                        filename

  -n CONTEXT_LINES, --number CONTEXT_LINES

                        maximum number of codelines to output for each issue

  -c CONFIG_FILE, --configfile CONFIG_FILE

                        optional config file touse for selecting plugins and

                        overriding defaults

  -p PROFILE, --profile PROFILE

                        profile to use(defaults to executing all tests)

  -t TESTS, --tests TESTS

                        comma-separated list oftest IDs to run

  -s SKIPS, --skip SKIPS

                        comma-separated list oftest IDs to skip

  -l, --level           report only issues of a givenseverity level or higher

                        (-l for LOW, -ll for MEDIUM, -lll forHIGH)

  -i, --confidence      report only issues of a given confidencelevel or

                        higher (-i for LOW, -iifor MEDIUM, -iii for HIGH)

  -f{csv,custom,html,json,screen,txt,xml,yaml}, --format{csv,custom,html,json,screen,txt,xml,yaml}

                        specify output format

  --msg-template MSG_TEMPLATE

                        specify output messagetemplate (only usable with

                        --format custom), seeCUSTOM FORMAT section for list

                        of available values

  -o [OUTPUT_FILE], --output [OUTPUT_FILE]

                        write report tofilename

  -v, --verbose         output extra information like excludedand included

                        files

  -d, --debug           turn on debug mode

  -q, --quiet, --silent

                        only show output in thecase of an error

  --ignore-nosec        do not skip lines with # nosec comments

  -x EXCLUDED_PATHS, --exclude EXCLUDED_PATHS

                        comma-separated list ofpaths (glob patterns supported)

                        to exclude from scan(note that these are in addition

                        to the excluded pathsprovided in the config file)

  -b BASELINE, --baseline BASELINE

                        path of a baselinereport to compare against (only

                        JSON-formatted filesare accepted)

  --ini INI_PATH        path to a .bandit file that suppliescommand line

                        arguments

  --version             show program's version number andexit

 

CUSTOMFORMATTING

-----------------

 

Availabletags:

 

    {abspath}, {relpath}, {line},  {test_id},

    {severity}, {msg}, {confidence}, {range}

 

Exampleusage:

 

    Default template:

    bandit -r examples/ --format custom--msg-template \

    "{abspath}:{line}: {test_id}[bandit]:{severity}: {msg}"

 

    Provides same output as:

    bandit -r examples/ --format custom

 

    Tags can also be formatted in python string.format()style:

    bandit -r examples/ --format custom--msg-template \

    "{relpath:20.20s}: {line:03}:{test_id:^8}: DEFECT: {msg:>20}"

 

    See python documentation for moreinformation about formatting style:

    https://docs.python.org/3.4/library/string.html

 

Thefollowing tests were discovered and loaded:

-----------------------------------------------

 

  B101 assert_used

  B102 exec_used

  B103 set_bad_file_permissions

  B104 hardcoded_bind_all_interfaces

  B105 hardcoded_password_string

  B106 hardcoded_password_funcarg

  B107 hardcoded_password_default

  B108 hardcoded_tmp_directory

  B110 try_except_pass

  B112 try_except_continue

  B201 flask_debug_true

  B301 pickle

  B302 marshal

  B303 md5

  B304 ciphers

  B305 cipher_modes

  B306 mktemp_q

  B307 eval

  B308 mark_safe

  B309 httpsconnection

  B310 urllib_urlopen

  B311 random

  B312 telnetlib

  B313 xml_bad_cElementTree

  B314 xml_bad_ElementTree

  B315 xml_bad_expatreader

  B316 xml_bad_expatbuilder

  B317 xml_bad_sax

  B318 xml_bad_minidom

  B319 xml_bad_pulldom

  B320 xml_bad_etree

  B321 ftplib

  B322 input

  B323 unverified_context

  B324 hashlib_new_insecure_functions

  B325 tempnam

  B401 import_telnetlib

  B402 import_ftplib

  B403 import_pickle

  B404 import_subprocess

  B405 import_xml_etree

  B406 import_xml_sax

  B407 import_xml_expat

  B408 import_xml_minidom

  B409 import_xml_pulldom

  B410 import_lxml

  B411 import_xmlrpclib

  B412 import_httpoxy

  B413 import_pycrypto

  B501 request_with_no_cert_validation

  B502 ssl_with_bad_version

  B503 ssl_with_bad_defaults

  B504 ssl_with_no_version

  B505 weak_cryptographic_key

  B506 yaml_load

  B507 ssh_no_host_key_verification

  B601 paramiko_calls

  B602 subprocess_popen_with_shell_equals_true

  B603 subprocess_without_shell_equals_true

  B604 any_other_function_with_shell_equals_true

  B605 start_process_with_a_shell

  B606 start_process_with_no_shell

  B607 start_process_with_partial_path

  B608 hardcoded_sql_expressions

  B609 linux_commands_wildcard_injection

  B610 django_extra_used

  B611 django_rawsql_used

  B701 jinja2_autoescape_false

  B702 use_of_mako_templates

  B703 django_mark_safe

 

基准线

Bandit允许用户指定需要进行比对的基线报告路径:奇热影视

bandit -b BASELINE

这样可以帮助大家忽略某些已知问题,或者是那些你不认为是问题的“问题”。大家可以使用下列命令生成基线报告:

bandit -f json -o PATH_TO_OUTPUT_FILE

版本控制整合

安装并使用pre-commit,将下列内容添加至代码库的.pre-commit-config.yaml文件中:

 

repos:

-   repo: https://github.com/PyCQA/bandit

    rev: '' # Update me!

    hooks:

- id: bandit

 

然后运行pre-commit即可。

扩展Bandit

Bandit允许用户编写和注册扩展以实现自定义检测或格式化(Formatter)功能。Bandit可以从下列两个节点加载插件:

 

bandit.formatters

bandit.plugins

 

Formatter需要接收下列四种输入参数:

 

result_store:一个bandit.core.BanditResultStore实例

file_list:需要扫描检测的文件列表

scores:每个文件的扫描评分

excluded_files:列表中不需要扫描的文件

 

利用bandit.checks来对特定类型的AST节点进行检测扫描:

 

@bandit.checks('Call')

defprohibit_unsafe_deserialization(context):

    if 'unsafe_load' incontext.call_function_name_qual:

        return bandit.Issue(

            severity=bandit.HIGH,

            confidence=bandit.HIGH,

            text="Unsafe deserializationdetected."

        )

 

注册插件时Bandit给用户提供了两个选项:

1、 如果你直接使用了安装工具(setuptools),我们需要在setup调用中添加下列信息:

 

# Ifyou have an imaginary bson formatter in the bandit_bson module

# anda function called `formatter`.

entry_points={'bandit.formatters':['bson = bandit_bson:formatter']}

# Ora check for using mako templates in bandit_mako that

entry_points={'bandit.plugins':['mako = bandit_mako']}

2、 如果你使用的是pbr,你需要在setup.cfg文件中添加下列信息:

 

[entry_points]

bandit.formatters=

    bson= bandit_bson:formatter

bandit.plugins=

    mako = bandit_mako

 

项目地址

参考文档:【最新版本】

Bandit:【GitHub传送门】

漏洞提交:【传送门】

许可证协议

本项目遵循Apache开源许可证协议。

这篇关于Bandit:一款Python代码安全漏洞检测工具的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/779166

相关文章

python: 多模块(.py)中全局变量的导入

文章目录 global关键字可变类型和不可变类型数据的内存地址单模块(单个py文件)的全局变量示例总结 多模块(多个py文件)的全局变量from x import x导入全局变量示例 import x导入全局变量示例 总结 global关键字 global 的作用范围是模块(.py)级别: 当你在一个模块(文件)中使用 global 声明变量时,这个变量只在该模块的全局命名空

活用c4d官方开发文档查询代码

当你问AI助手比如豆包,如何用python禁止掉xpresso标签时候,它会提示到 这时候要用到两个东西。https://developers.maxon.net/论坛搜索和开发文档 比如这里我就在官方找到正确的id描述 然后我就把参数标签换过来

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

poj 1258 Agri-Net(最小生成树模板代码)

感觉用这题来当模板更适合。 题意就是给你邻接矩阵求最小生成树啦。~ prim代码:效率很高。172k...0ms。 #include<stdio.h>#include<algorithm>using namespace std;const int MaxN = 101;const int INF = 0x3f3f3f3f;int g[MaxN][MaxN];int n

【机器学习】高斯过程的基本概念和应用领域以及在python中的实例

引言 高斯过程(Gaussian Process,简称GP)是一种概率模型,用于描述一组随机变量的联合概率分布,其中任何一个有限维度的子集都具有高斯分布 文章目录 引言一、高斯过程1.1 基本定义1.1.1 随机过程1.1.2 高斯分布 1.2 高斯过程的特性1.2.1 联合高斯性1.2.2 均值函数1.2.3 协方差函数(或核函数) 1.3 核函数1.4 高斯过程回归(Gauss

【学习笔记】 陈强-机器学习-Python-Ch15 人工神经网络(1)sklearn

系列文章目录 监督学习:参数方法 【学习笔记】 陈强-机器学习-Python-Ch4 线性回归 【学习笔记】 陈强-机器学习-Python-Ch5 逻辑回归 【课后题练习】 陈强-机器学习-Python-Ch5 逻辑回归(SAheart.csv) 【学习笔记】 陈强-机器学习-Python-Ch6 多项逻辑回归 【学习笔记 及 课后题练习】 陈强-机器学习-Python-Ch7 判别分析 【学

计算机毕业设计 大学志愿填报系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点赞 👍 收藏 ⭐评论 📝 🍅 文末获取源码联系 👇🏻 精彩专栏推荐订阅 👇🏻 不然下次找不到哟~Java毕业设计项目~热门选题推荐《1000套》 目录 1.技术选型 2.开发工具 3.功能

nudepy,一个有趣的 Python 库!

更多资料获取 📚 个人网站:ipengtao.com 大家好,今天为大家分享一个有趣的 Python 库 - nudepy。 Github地址:https://github.com/hhatto/nude.py 在图像处理和计算机视觉应用中,检测图像中的不适当内容(例如裸露图像)是一个重要的任务。nudepy 是一个基于 Python 的库,专门用于检测图像中的不适当内容。该

代码随想录冲冲冲 Day39 动态规划Part7

198. 打家劫舍 dp数组的意义是在第i位的时候偷的最大钱数是多少 如果nums的size为0 总价值当然就是0 如果nums的size为1 总价值是nums[0] 遍历顺序就是从小到大遍历 之后是递推公式 对于dp[i]的最大价值来说有两种可能 1.偷第i个 那么最大价值就是dp[i-2]+nums[i] 2.不偷第i个 那么价值就是dp[i-1] 之后取这两个的最大值就是d

pip-tools:打造可重复、可控的 Python 开发环境,解决依赖关系,让代码更稳定

在 Python 开发中,管理依赖关系是一项繁琐且容易出错的任务。手动更新依赖版本、处理冲突、确保一致性等等,都可能让开发者感到头疼。而 pip-tools 为开发者提供了一套稳定可靠的解决方案。 什么是 pip-tools? pip-tools 是一组命令行工具,旨在简化 Python 依赖关系的管理,确保项目环境的稳定性和可重复性。它主要包含两个核心工具:pip-compile 和 pip