BanditセキュリティLinting：Pythonセキュリティ脆弱性の特定と軽減

今日の複雑なサイバーセキュリティ環境において、プロアクティブなセキュリティ対策は最も重要です。多用途性と使いやすさで知られるPythonは、様々なアプリケーションで人気のある選択肢です。しかし、他のプログラミング言語と同様に、Pythonコードもセキュリティ脆弱性の影響を受けやすい場合があります。そこでBanditが登場します – Pythonコード内の潜在的なセキュリティ欠陥を自動的に特定するように設計された強力なセキュリティLintingツールです。

Banditとは？

Banditは、Python向けに特別に設計されたオープンソースのセキュリティLinterです。包括的なプラグインセットを使用して潜在的な脆弱性を特定し、Pythonコードをスキャンして一般的なセキュリティ上の問題を見つけます。開発ライフサイクルの早い段階で、本番環境で悪用される前にセキュリティ問題を検出するのに役立つ静的解析ツールと考えてください。

Banditは、Pythonコードを解析し、抽象構文木（AST）を構築することで機能します。その後、既知の脆弱性パターンに基づいた一連のテストをASTに適用します。潜在的なセキュリティ上の問題が発見されると、Banditはそれを重大度レベル、確信度レベル、および問題の詳細な説明とともに報告します。

Banditを使用する理由

Banditを開発ワークフローに統合することで、いくつかの重要な利点が得られます。

• 早期の脆弱性検出: Banditは、開発プロセスの早い段階でセキュリティ脆弱性を特定するのに役立ち、後で修正するために必要なコストと労力を削減します。
• コード品質の向上: 安全なコーディングプラクティスを強制することで、Banditは全体のコード品質と保守性に貢献します。
• 自動化されたセキュリティ監査: Banditはセキュリティ監査のプロセスを自動化し、コードがセキュリティのベストプラクティスに準拠していることを容易に保証します。
• OWASP Top 10のカバー: Banditには、OWASP Top 10に挙げられている多くの脆弱性に対処するテストが含まれており、一般的なWebアプリケーションセキュリティリスクから保護するのに役立ちます。
• カスタマイズ可能なルール: 特定のセキュリティ要件やコーディング標準に合わせてBanditのルールをカスタマイズできます。
• CI/CDパイプラインとの統合: Banditは、継続的インテグレーション/継続的デプロイ（CI/CD）パイプラインに簡単に統合でき、コード変更のたびにセキュリティチェックが自動的に実行されるようにします。

Banditの始め方

Banditを始めるためのステップバイステップガイドは次のとおりです。

1. インストール

Pythonのパッケージインストーラーであるpipを使用してBanditをインストールできます。

            pip install bandit
            

              
                Copy
              
            
          

2. Banditの実行

PythonコードでBanditを実行するには、次のコマンドを使用します。

            bandit -r <directory>
            

              
                Copy
              
            
          

<directory>をPythonコードを含むディレクトリに置き換えます。-rフラグは、指定されたディレクトリ内のすべてのPythonファイルを再帰的にスキャンするようにBanditに指示します。

個別のファイルを指定することもできます。

            bandit <file1.py> <file2.py>
            

              
                Copy
              
            
          

3. 結果の解釈

Banditは、コード内で見つかった潜在的なセキュリティ脆弱性を詳細に報告します。各脆弱性には、重大度レベル（例: HIGH、MEDIUM、LOW）と確信度レベル（例: HIGH、MEDIUM、LOW）が割り当てられます。レポートには、脆弱性の詳細な説明とそれが発見されたコード行も含まれています。

Banditの出力例：

            ./example.py:10:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:10
--------------------------------------------------

            

              
                Copy
              
            
          

この出力は、Banditがファイルexample.pyの10行目で重大度の高い脆弱性を発見したことを示しています。この脆弱性は、subprocess.Popenをshell=Trueとともに使用することに関連しており、これはシェルインジェクション攻撃を受けやすいことが知られています。

Banditが検出する一般的なセキュリティ脆弱性

Banditは、Pythonコードにおける幅広い一般的なセキュリティ脆弱性を検出できます。以下にいくつかの例を示します。

• シェルインジェクション (B602, B603): subprocess.Popenやos.systemを信頼できない入力とともに使用すると、シェルインジェクション攻撃につながる可能性があります。
• SQLインジェクション (B608): ユーザーが提供したデータを使用して文字列連結でSQLクエリを構築すると、アプリケーションがSQLインジェクション攻撃にさらされる可能性があります。
• ハードコードされたパスワード (B105): パスワードをコードに直接保存することは、重大なセキュリティリスクです。
• 弱い暗号化 (B303, B304, B322): 弱いまたは古い暗号化アルゴリズムを使用すると、データの機密性と整合性が侵害される可能性があります。
• 安全でないデシリアライゼーション (B301, B401): 信頼できないソースからのデータをデシリアライズすると、任意のコード実行につながる可能性があります。
• XML外部実体（XXE）インジェクション (B405): 信頼できないソースからのXMLドキュメントを適切なサニタイズなしで解析すると、アプリケーションがXXEインジェクション攻撃にさらされる可能性があります。
• フォーマット文字列の脆弱性 (B323): ユーザーが提供したデータをフォーマット文字列で適切なサニタイズなしで使用すると、フォーマット文字列の脆弱性につながる可能性があります。
• eval()またはexec()の使用 (B301): これらの関数は任意のコードを実行し、信頼できない入力とともに使用することは非常に危険です。
• 安全でない一時ファイルの使用 (B308): 予測可能な場所に一時ファイルを作成すると、攻撃者が機密データを上書きしたり読み取ったりする可能性があります。
• 不足または不適切なエラー処理 (B110): 例外を適切に処理しないと、機密情報が公開されたり、サービス拒否攻撃につながったりする可能性があります。

例: シェルインジェクション脆弱性の特定と修正

Banditがシェルインジェクション脆弱性を特定して修正するのにどのように役立つか、簡単な例を見てみましょう。

次のPythonコードを考えてみましょう。

            import subprocess
import os

def execute_command(command):
    subprocess.Popen(command, shell=True)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

このコードはユーザー入力を受け取り、subprocess.Popenをshell=Trueとともに使用してシェルコマンドとして実行します。これは古典的なシェルインジェクション脆弱性の例です。

このコードでBanditを実行すると、次の出力が生成されます。

            ./example.py:4:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:4
--------------------------------------------------

            

              
                Copy
              
            
          

Banditは、subprocess.Popenをshell=Trueとともに使用することを重大度の高い脆弱性として正しく識別します。

この脆弱性を修正するには、shell=Trueの使用を避け、代わりにコマンドとその引数をリストとしてsubprocess.Popenに渡すべきです。また、悪意のあるコマンドが挿入されるのを防ぐために、ユーザー入力をサニタイズする必要があります。

コードの修正版は次のとおりです。

            import subprocess
import shlex

def execute_command(command):
    # Sanitize the input using shlex.split to prevent shell injection
    command_list = shlex.split(command)
    subprocess.Popen(command_list)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

shlex.splitを使用してユーザー入力をサニタイズし、コマンドをリストとしてsubprocess.Popenに渡すことで、シェルインジェクション攻撃のリスクを軽減できます。

修正されたコードでBanditを実行すると、シェルインジェクションの脆弱性は報告されなくなります。

Banditの構成

Banditは、設定ファイル（bandit.yamlまたは.bandit）を使用して動作をカスタマイズできます。設定ファイルを使用して次のことができます。

• ファイルまたはディレクトリの除外: スキャンから除外すべきファイルまたはディレクトリを指定します。
• 特定のテストの無効化: プロジェクトに関連しないテストを無効にします。
• 重大度レベルの調整: 特定の脆弱性の重大度レベルを変更します。
• カスタムルールの定義: プロジェクト固有のセキュリティ問題を検出するための独自のカスタムルールを作成します。

bandit.yaml設定ファイルの例を次に示します。

            exclude:
  - 'tests/'
  - 'docs/'

skips:
  - 'B101'

confidence_level:
  MEDIUM:
    - 'B603'

severity_level:
  LOW:
    - 'B105'

            

              
                Copy
              
            
          

この設定ファイルは、tests/およびdocs/ディレクトリをスキャンから除外し、B101テスト（アサートステートメントの使用をチェックする）をスキップし、B603テストの確信度レベルをMEDIUMに調整し、B105テストの重大度レベルをLOWに調整します。

CI/CDパイプラインへのBanditの統合

BanditをCI/CDパイプラインに統合することは、Pythonコードのセキュリティを確保するための重要なステップです。コード変更のたびにBanditを自動的に実行することで、セキュリティ脆弱性を早期に発見し、本番環境に到達するのを防ぐことができます。

BanditをGitLab CI/CDパイプラインに統合する方法の例を次に示します。

            stages:
  - test

bandit:
  image: python:3.9
  stage: test
  before_script:
    - pip install bandit
  script:
    - bandit -r .
  artifacts:
    reports:
      bandit: bandit.report

            

              
                Copy
              
            
          

この設定は、現在のディレクトリでBanditを実行するbanditジョブを定義します。このジョブはPython 3.9 Dockerイメージを使用し、pipを使用してBanditをインストールします。bandit -r .コマンドは、現在のディレクトリ内のすべてのPythonファイルを再帰的にBanditを実行します。artifactsセクションは、Banditレポートをアーティファクトとして保存する必要があることを指定しており、ダウンロードしてレビューできます。

Jenkins、CircleCI、GitHub Actionsなどの他のCI/CDプラットフォームでも同様の設定を作成できます。

Banditの先へ：包括的なセキュリティ戦略

Banditは潜在的なセキュリティ脆弱性を特定するための貴重なツールですが、それが包括的なセキュリティ戦略の一部にすぎないことを覚えておくことが重要です。その他の重要なセキュリティプラクティスには次のものがあります。

• 安全なコーディングプラクティス: セキュリティ脆弱性をコードに導入するリスクを最小限に抑えるために、安全なコーディングガイドラインとベストプラクティスに従ってください。
• 定期的なセキュリティ監査: アプリケーションの潜在的なセキュリティ上の弱点を特定し、対処するために定期的なセキュリティ監査を実施してください。
• 侵入テスト: 実際の攻撃をシミュレートし、Banditのような静的解析ツールでは検出されない可能性のある脆弱性を特定するために侵入テストを実行してください。
• 脆弱性管理: ソフトウェアおよびインフラストラクチャの脆弱性を追跡し、修復するための脆弱性管理プログラムを実装してください。
• 依存関係管理: サードパーティライブラリの既知の脆弱性をパッチするために、依存関係を最新の状態に保ってください。pip-auditやsafetyのようなツールが役立ちます。
• 入力検証とサニタイズ: インジェクション攻撃やその他の入力関連の脆弱性を防ぐために、常にユーザー入力を検証し、サニタイズしてください。
• 認証と認可: 機密データとリソースを保護するために、強力な認証および認可メカニズムを実装してください。
• セキュリティ意識向上トレーニング: 開発者やその他の従業員に、一般的なセキュリティ上の脅威とベストプラクティスについて教育するために、セキュリティ意識向上トレーニングを提供してください。

結論

Banditは、Pythonコードのセキュリティ脆弱性を特定し、軽減するための貴重なツールです。Banditを開発ワークフローに統合することで、アプリケーションのセキュリティを向上させ、一般的なセキュリティ上の脅威から保護できます。しかし、Banditが包括的なセキュリティ戦略の一部にすぎないことを覚えておくことが重要です。安全なコーディングプラクティスに従い、定期的なセキュリティ監査を実施し、その他のセキュリティ対策を実装することで、より安全で弾力性のあるソフトウェア環境を作成できます。

リソース

• Banditドキュメント
• OWASP (Open Web Application Security Project)
• PyPI上のBandit