Bandit Security Linting: Identifying and Mitigating Python Security Vulnerabilities

A mai összetett kiberbiztonsági környezetben a proaktív biztonsági intézkedések kiemelten fontosak. A Python, amely sokoldalúságáról és könnyű használhatóságáról ismert, népszerű választás a különféle alkalmazásokhoz. Azonban, mint minden programozási nyelv, a Python kód is hajlamos lehet a biztonsági sebezhetőségekre. Itt jön a képbe a Bandit – egy hatékony biztonsági lintelő eszköz, amelyet arra terveztek, hogy automatikusan azonosítsa a potenciális biztonsági hibákat a Python kódjában.

What is Bandit?

A Bandit egy nyílt forráskódú biztonsági linter, amelyet kifejezetten Pythonhoz terveztek. Úgy működik, hogy átvizsgálja a Python kódot a gyakori biztonsági problémák szempontjából, és egy átfogó bővítménykészletet használ a potenciális sebezhetőségek azonosításához. Tekintsen rá úgy, mint egy statikus elemző eszközre, amely segít a biztonsági problémák korai szakaszban történő felismerésében a fejlesztési életciklusban, mielőtt azokat a termelésben kihasználhatnák.

A Bandit a Python kód elemzésével és egy Abstract Syntax Tree (AST) létrehozásával működik. Ezután egy sor tesztet alkalmaz az AST-re, amelyek ismert sebezhetőségi mintákon alapulnak. Amikor a rendszer potenciális biztonsági problémát talál, a Bandit jelentést készít róla, amely tartalmazza a súlyossági szintet, a megbízhatósági szintet és a probléma részletes leírását.

Why Use Bandit?

A Bandit integrálása a fejlesztési munkafolyamatba számos jelentős előnyt kínál:

• Early Vulnerability Detection: Bandit segít a biztonsági sebezhetőségek korai szakaszban történő azonosításában a fejlesztési folyamatban, csökkentve a későbbi javításukhoz szükséges költségeket és erőfeszítéseket.
• Improved Code Quality: A biztonságos kódolási gyakorlatok érvényesítésével a Bandit hozzájárul az általános kódminőséghez és karbantarthatósághoz.
• Automated Security Audits: Bandit automatizálja a biztonsági auditok folyamatát, megkönnyítve a kód biztonsági bevált gyakorlatoknak való megfelelésének biztosítását.
• OWASP Top 10 Coverage: Bandit olyan teszteket tartalmaz, amelyek az OWASP Top 10-ben felsorolt ​​számos sebezhetőséget kezelnek, így segítve Önt a gyakori webalkalmazás-biztonsági kockázatok elleni védelemben.
• Customizable Rules: Testreszabhatja a Bandit szabályait, hogy azok megfeleljenek az Ön egyedi biztonsági követelményeinek és kódolási szabványainak.
• Integration with CI/CD Pipelines: A Bandit könnyen integrálható a Continuous Integration/Continuous Deployment (CI/CD) folyamatokba, biztosítva, hogy a biztonsági ellenőrzések automatikusan végrehajtásra kerüljenek minden kódváltoztatáskor.

Getting Started with Bandit

Íme egy lépésről lépésre szóló útmutató a Bandit használatának megkezdéséhez:

1. Installation

A Banditet a pip, a Python csomagtelepítő segítségével telepítheti:

            pip install bandit
            

              
                Copy
              
            
          

2. Running Bandit

A Bandit futtatásához a Python kódon használja a következő parancsot:

            bandit -r <directory>
            

              
                Copy
              
            
          

Cserélje le a <directory>-t a Python kódot tartalmazó könyvtárra. A -r jelző azt mondja a Banditnek, hogy rekurzívan vizsgálja át az összes Python fájlt a megadott könyvtárban.

Egyéni fájlokat is megadhat:

            bandit <file1.py> <file2.py>
            

              
                Copy
              
            
          

3. Interpreting the Results

A Bandit jelentést ad ki, amely részletezi a kódban talált potenciális biztonsági sebezhetőségeket. Minden sebezhetőséghez hozzárendel egy súlyossági szintet (pl. HIGH, MEDIUM, LOW) és egy megbízhatósági szintet (pl. HIGH, MEDIUM, LOW). A jelentés tartalmazza a sebezhetőség részletes leírását és a kódsort is, ahol megtalálták.

Example Bandit Output:

            ./example.py:10:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:10
--------------------------------------------------

            

              
                Copy
              
            
          

Ez a kimenet azt jelzi, hogy a Bandit nagy súlyosságú sebezhetőséget talált az example.py fájlban a 10. sorban. A sebezhetőség a subprocess.Popen használatával kapcsolatos shell=True paraméterrel, amelyről ismert, hogy hajlamos a shell injection támadásokra.

Common Security Vulnerabilities Detected by Bandit

A Bandit a Python kódban található gyakori biztonsági sebezhetőségek széles körét képes észlelni. Íme néhány példa:

• Shell Injection (B602, B603): A subprocess.Popen vagy az os.system nem megbízható bemenettel való használata shell injection támadásokhoz vezethet.
• SQL Injection (B608): A felhasználó által megadott adatokkal rendelkező karakterlánc-összefűzéssel SQL-lekérdezések készítése SQL injection támadásoknak teheti ki az alkalmazást.
• Hardcoded Passwords (B105): A jelszavak közvetlenül a kódban történő tárolása komoly biztonsági kockázatot jelent.
• Weak Cryptography (B303, B304, B322): A gyenge vagy elavult kriptográfiai algoritmusok használata veszélyeztetheti az adatok bizalmasságát és integritását.
• Insecure Deserialization (B301, B401): A nem megbízható forrásokból származó adatok deszerializálása tetszőleges kód végrehajtásához vezethet.
• XML External Entity (XXE) Injection (B405): Az XML dokumentumok nem megbízható forrásokból történő elemzése megfelelő tisztítás nélkül XXE injection támadásoknak teheti ki az alkalmazást.
• Format String Vulnerabilities (B323): A felhasználó által megadott adatok formázó karakterláncokban történő használata megfelelő tisztítás nélkül formázó karakterlánc sebezhetőségekhez vezethet.
• Using `eval()` or `exec()` (B301): Ezek a függvények tetszőleges kódot hajtanak végre, és nem megbízható bemenettel való használatuk rendkívül veszélyes.
• Insecure Temporary File Usage (B308): Az ideiglenes fájlok kiszámítható helyen történő létrehozása lehetővé teheti a támadók számára a bizalmas adatok felülírását vagy olvasását.
• Missing or Incorrect Error Handling (B110): A kivételek helytelen kezelése bizalmas információkat tehet közzé, vagy szolgáltatásmegtagadási támadásokhoz vezethet.

Example: Identifying and Fixing a Shell Injection Vulnerability

Nézzünk egy egyszerű példát arra, hogyan segíthet a Bandit egy shell injection sebezhetőség azonosításában és javításában.

Vegyük a következő Python kódot:

            import subprocess
import os

def execute_command(command):
    subprocess.Popen(command, shell=True)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

Ez a kód fogadja a felhasználói bemenetet, és shell parancsként hajtja végre a subprocess.Popen segítségével, shell=True paraméterrel. Ez a shell injection sebezhetőség klasszikus példája.

A Bandit futtatása ezen a kódon a következő kimenetet eredményezi:

            ./example.py:4:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:4
--------------------------------------------------

            

              
                Copy
              
            
          

A Bandit helyesen azonosítja a subprocess.Popen használatát shell=True paraméterrel, mint nagy súlyosságú sebezhetőséget.

A sebezhetőség javításához el kell kerülnie a shell=True használatát, és ehelyett a parancsot és annak argumentumait listaként kell átadnia a subprocess.Popen-nek. A felhasználói bemenetet is tisztítani kell, hogy megakadályozza a rosszindulatú parancsok beillesztését.

Íme a kód javított verziója:

            import subprocess
import shlex

def execute_command(command):
    # Sanitize the input using shlex.split to prevent shell injection
    command_list = shlex.split(command)
    subprocess.Popen(command_list)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

A shlex.split használatával a felhasználói bemenet tisztítására, és a parancs listaként történő átadásával a subprocess.Popen-nek, csökkentheti a shell injection támadások kockázatát.

A Bandit futtatása a javított kódon már nem jelenti a shell injection sebezhetőséget.

Configuring Bandit

A Bandit egy konfigurációs fájl (bandit.yaml vagy .bandit) segítségével konfigurálható a működés testreszabásához. A konfigurációs fájl segítségével a következőket teheti:

• Exclude files or directories: Adja meg azokat a fájlokat vagy könyvtárakat, amelyeket ki kell zárni a vizsgálatból.
• Disable specific tests: Tiltsa le azokat a teszteket, amelyek nem relevánsak a projekt szempontjából.
• Adjust severity levels: Módosítsa az egyes sebezhetőségek súlyossági szintjét.
• Define custom rules: Hozzon létre saját egyéni szabályokat a projektspecifikus biztonsági problémák észleléséhez.

Íme egy példa egy bandit.yaml konfigurációs fájlra:

            exclude:
  - 'tests/'
  - 'docs/'

skips:
  - 'B101'

confidence_level:
  MEDIUM:
    - 'B603'

severity_level:
  LOW:
    - 'B105'

            

              
                Copy
              
            
          

Ez a konfigurációs fájl kizárja a tests/ és a docs/ könyvtárakat a vizsgálatból, kihagyja a B101 tesztet (amely az assert utasítások használatát ellenőrzi), a B603 teszt megbízhatósági szintjét MEDIUM-ra állítja, a B105 teszt súlyossági szintjét pedig LOW-ra állítja.

Integrating Bandit into your CI/CD Pipeline

A Bandit integrálása a CI/CD folyamatba kulcsfontosságú lépés a Python kód biztonságának biztosításában. A Bandit automatikus futtatásával minden kódváltoztatáskor korán elkaphatja a biztonsági sebezhetőségeket, és megakadályozhatja, hogy azok a termelésbe kerüljenek.

Íme egy példa arra, hogyan integrálhatja a Banditet egy GitLab CI/CD folyamatba:

            stages:
  - test

bandit:
  image: python:3.9
  stage: test
  before_script:
    - pip install bandit
  script:
    - bandit -r .
  artifacts:
    reports:
      bandit: bandit.report

            

              
                Copy
              
            
          

Ez a konfiguráció egy bandit feladatot definiál, amely a Banditet futtatja az aktuális könyvtárban. A feladat egy Python 3.9 Docker image-et használ, és a Banditet a pip segítségével telepíti. A bandit -r . parancs rekurzívan futtatja a Banditet az aktuális könyvtárban található összes Python fájlon. Az artifacts szakasz meghatározza, hogy a Bandit jelentést artefaktumként kell menteni, amelyet le lehet tölteni és felül lehet vizsgálni.

Hasonló konfigurációk hozhatók létre más CI/CD platformokhoz, például a Jenkinshez, a CircleCI-hez és a GitHub Actions-höz.

Beyond Bandit: Comprehensive Security Strategies

Bár a Bandit értékes eszköz a potenciális biztonsági sebezhetőségek azonosításához, fontos emlékezni arra, hogy ez csak egy része az átfogó biztonsági stratégiának. További fontos biztonsági gyakorlatok közé tartozik:

• Secure Coding Practices: Kövesse a biztonságos kódolási irányelveket és a bevált gyakorlatokat, hogy minimalizálja a sebezhetőségek kódba való bekerülésének kockázatát.
• Regular Security Audits: Végezzen rendszeres biztonsági auditokat az alkalmazásban lévő potenciális biztonsági gyengeségek azonosítására és kezelésére.
• Penetration Testing: Végezzen behatolási teszteket a valós támadások szimulálására és az olyan sebezhetőségek azonosítására, amelyeket a statikus elemző eszközök, mint például a Bandit, nem tudnak észlelni.
• Vulnerability Management: Hajtson végre egy sebezhetőségkezelési programot a szoftverben és az infrastruktúrában lévő sebezhetőségek nyomon követésére és kijavítására.
• Dependency Management: Tartsa naprakészen a függőségeit, hogy javítsa a harmadik féltől származó könyvtárak ismert sebezhetőségeit. Az olyan eszközök, mint a `pip-audit` és a `safety`, segíthetnek ebben.
• Input Validation and Sanitization: Mindig ellenőrizze és tisztítsa meg a felhasználói bemenetet az injection támadások és más bemenettel kapcsolatos sebezhetőségek megelőzése érdekében.
• Authentication and Authorization: Hajtson végre erős hitelesítési és engedélyezési mechanizmusokat az érzékeny adatok és erőforrások védelme érdekében.
• Security Awareness Training: Biztosítson biztonságtudatossági képzést a fejlesztőknek és más alkalmazottaknak, hogy felvilágosítsa őket a gyakori biztonsági fenyegetésekről és a bevált gyakorlatokról.

Conclusion

A Bandit értékes eszköz a Python kódban található biztonsági sebezhetőségek azonosítására és enyhítésére. A Bandit integrálásával a fejlesztési munkafolyamatba javíthatja alkalmazásai biztonságát, és védelmet nyújthat a gyakori biztonsági fenyegetések ellen. Fontos azonban emlékezni arra, hogy a Bandit csak egy része az átfogó biztonsági stratégiának. A biztonságos kódolási gyakorlatok követésével, a rendszeres biztonsági auditok elvégzésével és más biztonsági intézkedések végrehajtásával biztonságosabb és rugalmasabb szoftverkörnyezetet hozhat létre.

Resources

• Bandit Documentation
• OWASP (Open Web Application Security Project)
• Bandit on PyPI