Bandit-tietoturvalintaus: Pythonin tietoturva-aukkojen tunnistaminen ja torjuminen

Nykypäivän monimutkaisessa kyberturvallisuusympäristössä ennakoivat turvallisuustoimenpiteet ovat ensiarvoisen tärkeitä. Python, joka tunnetaan monipuolisuudestaan ja helppokäyttöisyydestään, on suosittu valinta erilaisiin sovelluksiin. Kuitenkin, kuten mikä tahansa ohjelmointikieli, Python-koodi voi olla altis tietoturva-aukoille. Tässä kohtaa Bandit astuu kuvaan – tehokas tietoturvalintausväline, joka on suunniteltu tunnistamaan automaattisesti mahdolliset tietoturvaongelmat Python-koodissasi.

Mikä on Bandit?

Bandit on avoimen lähdekoodin tietoturvalintteri, joka on suunniteltu erityisesti Pythonille. Se toimii skannaamalla Python-koodia yleisten tietoturvaongelmien varalta käyttäen kattavaa laajennuskokoelmaa mahdollisten haavoittuvuuksien tunnistamiseen. Ajattele sitä staattisena analyysityökaluna, joka auttaa sinua havaitsemaan tietoturvaongelmat kehityksen alkuvaiheessa, ennen kuin niitä voidaan hyödyntää tuotannossa.

Bandit toimii jäsentämällä Python-koodia ja rakentamalla abstraktin syntaksipuun (AST). Sitten se soveltaa AST:hen sarjan testejä, jotka perustuvat tunnettuihin haavoittuvuuksien malleihin. Kun mahdollinen tietoturvaongelma löytyy, Bandit raportoi sen vakavuustasolla, luottamustasolla ja yksityiskohtaisella kuvauksella ongelmasta.

Miksi käyttää Banditia?

Banditin integroiminen kehitystyönkulkuun tarjoaa useita merkittäviä etuja:

• Varhainen haavoittuvuuksien havaitseminen: Bandit auttaa sinua tunnistamaan tietoturva-aukot kehitysprosessin alkuvaiheessa, mikä vähentää niiden korjaamiseen myöhemmin tarvittavia kustannuksia ja ponnisteluja.
• Parantunut koodin laatu: Vahvistamalla turvallisia koodauskäytäntöjä Bandit edistää yleistä koodin laatua ja ylläpidettävyyttä.
• Automatisoidut tietoturvatarkastukset: Bandit automatisoi tietoturvatarkastusten prosessin, mikä helpottaa koodin tietoturvakäytäntöjen noudattamisen varmistamista.
• OWASP Top 10 -kattavuus: Bandit sisältää testejä, jotka käsittelevät monia OWASP Top 10 -listalla olevia haavoittuvuuksia, auttaen sinua suojautumaan yleisiltä verkkosovellusten tietoturvariskeiltä.
• Mukautettavat säännöt: Voit mukauttaa Banditin sääntöjä vastaamaan omia tietoturvavaatimuksiasi ja koodausstandardejasi.
• Integrointi CI/CD-putkiin: Bandit voidaan helposti integroida Continuous Integration/Continuous Deployment (CI/CD) -putkiisi, varmistaen, että tietoturvatarkastukset suoritetaan automaattisesti jokaisessa koodimuutoksessa.

Banditin käyttöönotto

Tässä vaiheittainen opas Banditin käyttöönottoon:

1. Asennus

Voit asentaa Banditin pipillä, Python-pakettien asennusohjelmalla:

            pip install bandit
            

              
                Copy
              
            
          

2. Banditin suorittaminen

Suorittaaksesi Banditin Python-koodillesi, käytä seuraavaa komentoa:

            bandit -r <directory>
            

              
                Copy
              
            
          

Korvaa <directory> hakemistolla, joka sisältää Python-koodisi. -r -lippu käskee Banditia skannaamaan rekursiivisesti kaikki Python-tiedostot määritetyssä hakemistossa.

Voit myös määrittää yksittäisiä tiedostoja:

            bandit <file1.py> <file2.py>
            

              
                Copy
              
            
          

3. Tulosten tulkinta

Bandit tulostaa raportin, jossa kuvataan kaikki koodistasi löytyneet mahdolliset tietoturva-aukot. Jokaiselle haavoittuvuudelle annetaan vakavuustaso (esim. KORKEA, KESKIVAKAVA, MATALA) ja luottamustaso (esim. KORKEA, KESKIVAKAVA, MATALA). Raportti sisältää myös yksityiskohtaisen kuvauksen haavoittuvuudesta ja rivin, josta se löydettiin.

Esimerkki Banditin tulosteesta:

            ./example.py:10:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:10
--------------------------------------------------

            

              
                Copy
              
            
          

Tämä tuloste osoittaa, että Bandit löysi korkean vakavuustason haavoittuvuuden tiedostosta example.py riviltä 10. Haavoittuvuus liittyy subprocess.Popen -funktion käyttöön shell=True -parametrin kanssa, jonka tiedetään olevan altis komentorivi-injektiohyökkäyksille.

Banditin havaitsemat yleiset tietoturva-aukot

Bandit voi havaita laajan valikoiman yleisiä tietoturva-aukkoja Python-koodista. Tässä muutamia esimerkkejä:

• Komentorivi-injektio (B602, B603): subprocess.Popen- tai os.system-funktion käyttäminen epäluotettavan syötteen kanssa voi johtaa komentorivi-injektiohyökkäyksiin.
• SQL-injektio (B608): SQL-kyselyjen rakentaminen merkkijonojen yhdistelyllä käyttäjän antamien tietojen kanssa voi altistaa sovelluksesi SQL-injektiohyökkäyksille.
• Kovakoodatut salasanat (B105): Salasanojen tallentaminen suoraan koodiin on merkittävä tietoturvariski.
• Heikko kryptografia (B303, B304, B322): Heikkojen tai vanhentuneiden kryptografisten algoritmien käyttö voi vaarantaa tietojesi luottamuksellisuuden ja eheyden.
• Epävarma deserialisointi (B301, B401): Tietojen deserialisointi epäluotettavista lähteistä voi johtaa mielivaltaisen koodin suorittamiseen.
• XML External Entity (XXE) -injektio (B405): XML-dokumenttien jäsentäminen epäluotettavista lähteistä ilman asianmukaista puhdistusta voi altistaa sovelluksesi XXE-injektiohyökkäyksille.
• Merkkijonon muotoilun haavoittuvuudet (B323): Käyttäjän antamien tietojen käyttäminen muotoilumerkkijonoissa ilman asianmukaista puhdistusta voi johtaa merkkijonon muotoilun haavoittuvuuksiin.
• eval()- tai exec()-funktion käyttäminen (B301): Nämä funktiot suorittavat mielivaltaista koodia, ja niiden käyttö epäluotettavan syötteen kanssa on erittäin vaarallista.
• Epävarma väliaikaistiedostojen käyttö (B308): Väliaikaistiedostojen luominen ennustettavaan sijaintiin voi antaa hyökkääjille mahdollisuuden ylikirjoittaa tai lukea arkaluontoisia tietoja.
• Puuttuva tai virheellinen virheenkäsittely (B110): Poikkeusten käsittelemättä jättäminen oikein voi paljastaa arkaluonteisia tietoja tai johtaa palvelunestohyökkäyksiin.

Esimerkki: Komentorivi-injektiohaavoittuvuuden tunnistaminen ja korjaaminen

Tarkastellaan yksinkertaista esimerkkiä siitä, kuinka Bandit voi auttaa sinua tunnistamaan ja korjaamaan komentorivi-injektiohaavoittuvuuden.

Harkitse seuraavaa Python-koodia:

            import subprocess
import os

def execute_command(command):
    subprocess.Popen(command, shell=True)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

Tämä koodi ottaa käyttäjän syötteen ja suorittaa sen komentona käyttäen subprocess.Popen -funktiota shell=True -parametrin kanssa. Tämä on klassinen esimerkki komentorivi-injektiohaavoittuvuudesta.

Banditin suorittaminen tällä koodilla tuottaa seuraavan tulosteen:

            ./example.py:4:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:4
--------------------------------------------------

            

              
                Copy
              
            
          

Bandit tunnistaa oikein subprocess.Popen -funktion käytön shell=True -parametrin kanssa korkean vakavuusasteen haavoittuvuudeksi.

Korjataksen tämän haavoittuvuuden, sinun tulisi välttää shell=True -parametrin käyttöä ja sen sijaan välittää komento ja sen argumentit luettelona subprocess.Popen -funktiolle. Sinun tulisi myös puhdistaa käyttäjän syöte estääksesi haitallisten komentojen injektoinnin.

Tässä korjattu versio koodista:

            import subprocess
import shlex

def execute_command(command):
    # Sanitize the input using shlex.split to prevent shell injection
    command_list = shlex.split(command)
    subprocess.Popen(command_list)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

Käyttämällä shlex.split -funktiota käyttäjän syötteen puhdistamiseen ja välittämällä komennon luettelona subprocess.Popen -funktiolle voit lieventää komentorivi-injektiohyökkäysten riskiä.

Banditin suorittaminen korjatulla koodilla ei enää raportoi komentorivi-injektiohaavoittuvuudesta.

Banditin konfigurointi

Bandit voidaan konfiguroida käyttämällä konfiguraatiotiedostoa (bandit.yaml tai .bandit) sen käyttäytymisen mukauttamiseksi. Voit käyttää konfiguraatiotiedostoa seuraaviin tarkoituksiin:

• Poissulje tiedostoja tai hakemistoja: Määritä tiedostot tai hakemistot, jotka tulee jättää skannauksen ulkopuolelle.
• Poista käytöstä tietyt testit: Poista käytöstä testit, jotka eivät ole relevantteja projektillesi.
• Säädä vakavuustasoja: Muuta tiettyjen haavoittuvuuksien vakavuustasoja.
• Määritä mukautettuja sääntöjä: Luo omia mukautettuja sääntöjä projektikohtaisten tietoturvaongelmien havaitsemiseksi.

Tässä esimerkki bandit.yaml-konfiguraatiotiedostosta:

            exclude:
  - 'tests/'
  - 'docs/'

skips:
  - 'B101'

confidence_level:
  MEDIUM:
    - 'B603'

severity_level:
  LOW:
    - 'B105'

            

              
                Copy
              
            
          

Tämä konfiguraatiotiedosto sulkee tests/- ja docs/-hakemistot pois skannauksesta, ohittaa B101-testin (joka tarkistaa assert-lausekkeiden käyttöä), säätää B603-testin luottamustason KESKIVAKAVAKSI ja säätää B105-testin vakavuustason MATALAKSI.

Banditin integroiminen CI/CD-putkeesi

Banditin integroiminen CI/CD-putkeesi on ratkaiseva askel Python-koodisi turvallisuuden varmistamisessa. Suorittamalla Banditin automaattisesti jokaisessa koodimuutoksessa voit havaita tietoturva-aukot ajoissa ja estää niitä pääsemästä tuotantoon.

Tässä esimerkki Banditin integroimisesta GitLab CI/CD -putkeen:

            stages:
  - test

bandit:
  image: python:3.9
  stage: test
  before_script:
    - pip install bandit
  script:
    - bandit -r .
  artifacts:
    reports:
      bandit: bandit.report

            

              
                Copy
              
            
          

Tämä konfiguraatio määrittää bandit-työn, joka suorittaa Banditin nykyisessä hakemistossa. Työ käyttää Python 3.9 Docker-kuvaa ja asentaa Banditin pipillä. Komento bandit -r . suorittaa Banditin rekursiivisesti kaikille nykyisen hakemiston Python-tiedostoille. artifacts-osio määrittää, että Bandit-raportti tulisi tallentaa artefaktina, jonka voi ladata ja tarkistaa.

Vastaavia konfiguraatioita voidaan luoda muille CI/CD-alustoille, kuten Jenkinsille, CircleCI:lle ja GitHub Actionsille.

Banditin tuolla puolen: Kattavat tietoturvastrategiat

Vaikka Bandit on arvokas työkalu mahdollisten tietoturva-aukkojen tunnistamiseen, on tärkeää muistaa, että se on vain yksi osa kattavaa tietoturvastrategiaa. Muita tärkeitä tietoturvakäytäntöjä ovat:

• Turvalliset koodauskäytännöt: Noudata turvallisia koodausohjeita ja parhaita käytäntöjä minimoidaksesi haavoittuvuuksien tuomisen koodiisi.
• Säännölliset tietoturvatarkastukset: Suorita säännöllisiä tietoturvatarkastuksia tunnistaaksesi ja korjataksesi mahdolliset tietoturvaheikkoudet sovelluksessasi.
• Tunkeutumistestaus: Suorita tunkeutumistestaus simuloidaksesi todellisia hyökkäyksiä ja tunnistaaksesi haavoittuvuuksia, joita staattiset analyysityökalut, kuten Bandit, eivät välttämättä havaitse.
• Haavoittuvuuksien hallinta: Toteuta haavoittuvuuksien hallintaohjelma seurataksesi ja korjataksesi ohjelmistosi ja infrastruktuurisi haavoittuvuuksia.
• Riippuvuuksien hallinta: Pidä riippuvuutesi ajan tasalla korjataksesi tunnetut haavoittuvuudet kolmannen osapuolen kirjastoissa. Työkalut, kuten pip-audit ja safety, voivat auttaa tässä.
• Syötteen validointi ja puhdistus: Validioi ja puhdista aina käyttäjän syöte estääksesi injektiohyökkäykset ja muut syötteeseen liittyvät haavoittuvuudet.
• Todennus ja valtuutus: Toteuta vahvat todennus- ja valtuutusmekanismit arkaluonteisten tietojen ja resurssien suojaamiseksi.
• Tietoturvatietoisuuskoulutus: Tarjoa tietoturvatietoisuuskoulutusta kehittäjillesi ja muille työntekijöillesi kouluttaaksesi heitä yleisistä tietoturvauhkista ja parhaista käytännöistä.

Yhteenveto

Bandit on arvokas työkalu Python-koodin tietoturva-aukkojen tunnistamiseen ja torjumiseen. Integroimalla Banditin kehitystyönkulkuun voit parantaa sovellustesi turvallisuutta ja suojautua yleisiltä tietoturvauhilta. On kuitenkin tärkeää muistaa, että Bandit on vain yksi osa kattavaa tietoturvastrategiaa. Noudattamalla turvallisia koodauskäytäntöjä, suorittamalla säännöllisiä tietoturvatarkastuksia ja toteuttamalla muita turvallisuustoimenpiteitä voit luoda turvallisemman ja joustavamman ohjelmistoympäristön.

Resurssit

• Bandit-dokumentaatio
• OWASP (Open Web Application Security Project)
• Bandit PyPI:ssä