Bandit Drošības Lintēšana: Python Drošības Ievainojamību Identificēšana un Mazināšana

Mūsdienu sarežģītajā kiberdrošības vidē proaktīvi drošības pasākumi ir ārkārtīgi svarīgi. Python, kas pazīstama ar savu daudzpusību un lietošanas ērtumu, ir populāra izvēle dažādiem lietojumiem. Tomēr, tāpat kā jebkura programmēšanas valoda, Python kods var būt pakļauts drošības ievainojamībām. Šeit parādās Bandit - spēcīgs drošības lintēšanas rīks, kas paredzēts, lai automātiski identificētu potenciālos drošības trūkumus jūsu Python kodā.

Kas ir Bandit?

Bandit ir atvērtā pirmkoda drošības linteris, kas īpaši paredzēts Python. Tas darbojas, skenējot Python kodu, lai atrastu biežas drošības problēmas, izmantojot visaptverošu spraudņu kopumu, lai identificētu potenciālās ievainojamības. Domājiet par to kā par statiskās analīzes rīku, kas palīdz jums atklāt drošības problēmas agri izstrādes ciklā, pirms tās var izmantot ražošanā.

Bandit darbojas, parsējot Python kodu un veidojot Abstract Syntax Tree (AST). Pēc tam tas pielieto virkni testu, pamatojoties uz zināmiem ievainojamību modeļiem, AST. Kad tiek atrasta potenciāla drošības problēma, Bandit ziņo par to ar smaguma pakāpi, pārliecības līmeni un detalizētu problēmas aprakstu.

Kāpēc izmantot Bandit?

Bandit integrēšana jūsu izstrādes darbplūsmā piedāvā vairākas būtiskas priekšrocības:

• Agrīna ievainojamību atklāšana: Bandit palīdz jums identificēt drošības ievainojamības agri izstrādes procesā, samazinot izmaksas un pūles, kas nepieciešamas, lai tās vēlāk labotu.
• Uzlabota koda kvalitāte: Ieviešot drošas kodēšanas prakses, Bandit veicina kopējo koda kvalitāti un uzturējamību.
• Automatizētas drošības audita pārbaudes: Bandit automatizē drošības audita pārbaudes procesu, atvieglojot pārliecību, ka jūsu kods atbilst drošības labākajām praksēm.
• OWASP Top 10 pārklājums: Bandit ietver testus, kas risina daudzas no ievainojamībām, kas uzskaitītas OWASP Top 10, palīdzot jums aizsargāties pret biežiem tīmekļa lietojumprogrammu drošības riskiem.
• Pielāgojami noteikumi: Jūs varat pielāgot Bandit noteikumus, lai tie atbilstu jūsu īpašajām drošības prasībām un kodēšanas standartiem.
• Integrācija ar CI/CD cauruļvadiem: Bandit var viegli integrēt jūsu Continuous Integration/Continuous Deployment (CI/CD) cauruļvados, nodrošinot, ka drošības pārbaudes tiek veiktas automātiski katrā koda izmaiņā.

Darba sākšana ar Bandit

Šeit ir soli pa solim ceļvedis, kā sākt darbu ar Bandit:

1. Instalēšana

Jūs varat instalēt Bandit, izmantojot pip, Python pakotņu instalētāju:

            pip install bandit
            

              
                Copy
              
            
          

2. Bandit palaišana

Lai palaistu Bandit savā Python kodā, izmantojiet šādu komandu:

            bandit -r <direktorija>
            

              
                Copy
              
            
          

Aizstājiet <direktorija> ar direktoriju, kurā atrodas jūsu Python kods. Karogs -r norāda Bandit rekursīvi skenēt visus Python failus norādītajā direktorijā.

Varat arī norādīt atsevišķus failus:

            bandit <file1.py> <file2.py>
            

              
                Copy
              
            
          

3. Rezultātu interpretēšana

Bandit izvadīs ziņojumu, kurā detalizēti aprakstītas visas potenciālās drošības ievainojamības, kas atrastas jūsu kodā. Katrai ievainojamībai tiek piešķirts smaguma pakāpe (piemēram, AUGSTS, VIDĒJS, ZEMS) un pārliecības līmenis (piemēram, AUGSTS, VIDĒJS, ZEMS). Ziņojumā ir iekļauts arī detalizēts ievainojamības apraksts un koda rindiņa, kurā tā tika atrasta.

Bandit izvades piemērs:

            ./example.py:10:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:10
--------------------------------------------------

            

              
                Copy
              
            
          

Šī izvade norāda, ka Bandit atrada augstas smaguma pakāpes ievainojamību failā example.py 10. rindā. Ievainojamība ir saistīta ar subprocess.Popen izmantošanu ar shell=True, kas ir zināms, ka ir uzņēmīgs pret shell injection uzbrukumiem.

Biežas drošības ievainojamības, ko atklāj Bandit

Bandit var atklāt plašu biežu drošības ievainojamību klāstu Python kodā. Šeit ir daži piemēri:

• Shell Injection (B602, B603): subprocess.Popen vai os.system izmantošana ar neuzticamu ievadi var izraisīt shell injection uzbrukumus.
• SQL Injection (B608): SQL vaicājumu konstruēšana, izmantojot virkņu konkatenāciju ar lietotāja sniegtajiem datiem, var pakļaut jūsu lietojumprogrammu SQL injection uzbrukumiem.
• Iekodētas paroles (B105): Paroļu glabāšana tieši jūsu kodā ir liels drošības risks.
• Vāja kriptogrāfija (B303, B304, B322): Vāju vai novecojušu kriptogrāfisko algoritmu izmantošana var apdraudēt jūsu datu konfidencialitāti un integritāti.
• Nedroša deserializācija (B301, B401): Datu deserializēšana no neuzticamiem avotiem var izraisīt patvaļīgas koda izpildi.
• XML External Entity (XXE) Injection (B405): XML dokumentu parsēšana no neuzticamiem avotiem bez pienācīgas sanitizācijas var pakļaut jūsu lietojumprogrammu XXE injection uzbrukumiem.
• Format String ievainojamības (B323): Lietotāja sniegto datu izmantošana formāta virknēs bez pienācīgas sanitizācijas var izraisīt formāta virkņu ievainojamības.
• eval() vai exec() izmantošana (B301): Šīs funkcijas izpilda patvaļīgu kodu, un to izmantošana ar neuzticamu ievadi ir ārkārtīgi bīstama.
• Nedroša pagaidu failu izmantošana (B308): Pagaidu failu izveide paredzamā vietā var ļaut uzbrucējiem pārrakstīt vai lasīt sensitīvus datus.
• Trūkstoša vai nepareiza kļūdu apstrāde (B110): Nepareiza izņēmumu apstrāde var atklāt sensitīvu informāciju vai izraisīt pakalpojuma atteikuma uzbrukumus.

Piemērs: Shell Injection ievainojamības identificēšana un labošana

            import subprocess
import os

def execute_command(command):
    subprocess.Popen(command, shell=True)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

Šis kods ņem lietotāja ievadi un izpilda to kā shell komandu, izmantojot subprocess.Popen ar shell=True. Šis ir klasisks shell injection ievainojamības piemērs.

Palaidot Bandit šajā kodā, tiks ģenerēta šāda izvade:

            ./example.py:4:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:4
--------------------------------------------------

            

              
                Copy
              
            
          

Bandit pareizi identificē subprocess.Popen izmantošanu ar shell=True kā augstas smaguma pakāpes ievainojamību.

Lai novērstu šo ievainojamību, jums vajadzētu izvairīties no shell=True izmantošanas un tā vietā nodot komandu un tās argumentus kā sarakstu subprocess.Popen. Jums vajadzētu arī sanitizēt lietotāja ievadi, lai novērstu ļaunprātīgu komandu ievadīšanu.

Šeit ir labota koda versija:

            import subprocess
import shlex

def execute_command(command):
    # Sanitize the input using shlex.split to prevent shell injection
    command_list = shlex.split(command)
    subprocess.Popen(command_list)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

Izmantojot shlex.split, lai sanitizētu lietotāja ievadi, un nododot komandu kā sarakstu subprocess.Popen, jūs varat mazināt shell injection uzbrukumu risku.

Palaidot Bandit labotajā kodā, vairs netiks ziņots par shell injection ievainojamību.

Bandit konfigurēšana

Bandit var konfigurēt, izmantojot konfigurācijas failu (bandit.yaml vai .bandit), lai pielāgotu tā darbību. Jūs varat izmantot konfigurācijas failu, lai:

• Izslēgtu failus vai direktorijas: Norādiet failus vai direktorijas, kas jāizslēdz no skenēšanas.
• Atspējotu konkrētus testus: Atspējojiet testus, kas nav būtiski jūsu projektam.
• Pielāgotu smaguma pakāpes: Mainiet konkrētu ievainojamību smaguma pakāpes.
• Definētu pielāgotus noteikumus: Izveidojiet savus pielāgotus noteikumus, lai atklātu projektam specifiskas drošības problēmas.

Šeit ir bandit.yaml konfigurācijas faila piemērs:

            exclude:
  - 'tests/'
  - 'docs/'

skips:
  - 'B101'

confidence_level:
  MEDIUM:
    - 'B603'

severity_level:
  LOW:
    - 'B105'

            

              
                Copy
              
            
          

Šis konfigurācijas fails izslēdz tests/ un docs/ direktorijas no skenēšanas, izlaiž B101 testu (kas pārbauda assert paziņojumu izmantošanu), pielāgo B603 testa pārliecības līmeni uz VIDĒJU un pielāgo B105 testa smaguma pakāpi uz ZEMU.

Bandit integrēšana jūsu CI/CD cauruļvadā

Bandit integrēšana jūsu CI/CD cauruļvadā ir būtisks solis, lai nodrošinātu jūsu Python koda drošību. Automātiski palaižot Bandit katrā koda izmaiņā, jūs varat agri atklāt drošības ievainojamības un neļaut tām sasniegt ražošanu.

Šeit ir piemērs, kā integrēt Bandit GitLab CI/CD cauruļvadā:

            stages:
  - test

bandit:
  image: python:3.9
  stage: test
  before_script:
    - pip install bandit
  script:
    - bandit -r .
  artifacts:
    reports:
      bandit: bandit.report

            

              
                Copy
              
            
          

Šī konfigurācija definē bandit darbu, kas palaiž Bandit pašreizējā direktorijā. Darbs izmanto Python 3.9 Docker attēlu un instalē Bandit, izmantojot pip. Komanda bandit -r . rekursīvi palaiž Bandit visos Python failos pašreizējā direktorijā. Sadaļa artifacts norāda, ka Bandit ziņojums jāsaglabā kā artefakts, kuru var lejupielādēt un pārskatīt.

Līdzīgas konfigurācijas var izveidot citām CI/CD platformām, piemēram, Jenkins, CircleCI un GitHub Actions.

Papildus Bandit: Visaptverošas drošības stratēģijas

Lai gan Bandit ir vērtīgs rīks potenciālo drošības ievainojamību identificēšanai, ir svarīgi atcerēties, ka tas ir tikai viena daļa no visaptverošas drošības stratēģijas. Cita svarīga drošības prakse ietver:

• Drošas kodēšanas prakses: Ievērojiet drošas kodēšanas vadlīnijas un labāko praksi, lai samazinātu ievainojamību ieviešanas risku savā kodā.
• Regulāras drošības audita pārbaudes: Veiciet regulāras drošības audita pārbaudes, lai identificētu un novērstu iespējamus drošības trūkumus savā lietojumprogrammā.
• Ielaušanās testēšana: Veiciet ielaušanās testēšanu, lai simulētu reālās pasaules uzbrukumus un identificētu ievainojamības, kuras var neatklāt statiskās analīzes rīki, piemēram, Bandit.
• Ievainojamību pārvaldība: Ieviesiet ievainojamību pārvaldības programmu, lai izsekotu un novērstu ievainojamības savā programmatūrā un infrastruktūrā.
• Atkarību pārvaldība: Atjauniniet savas atkarības, lai ielāpītu zināmās ievainojamības trešo pušu bibliotēkās. Rīki, piemēram, pip-audit un safety, var palīdzēt ar to.
• Ievades validācija un sanitizācija: Vienmēr validējiet un sanitizējiet lietotāja ievadi, lai novērstu injection uzbrukumus un citas ar ievadi saistītas ievainojamības.
• Autentifikācija un autorizācija: Ieviesiet spēcīgus autentifikācijas un autorizācijas mehānismus, lai aizsargātu sensitīvus datus un resursus.
• Drošības apziņas apmācība: Nodrošiniet drošības apziņas apmācību saviem izstrādātājiem un citiem darbiniekiem, lai izglītotu viņus par biežiem drošības draudiem un labāko praksi.

Secinājums

Bandit ir vērtīgs rīks drošības ievainojamību identificēšanai un mazināšanai Python kodā. Integrējot Bandit savā izstrādes darbplūsmā, jūs varat uzlabot savu lietojumprogrammu drošību un aizsargāties pret biežiem drošības draudiem. Tomēr ir svarīgi atcerēties, ka Bandit ir tikai viena daļa no visaptverošas drošības stratēģijas. Ievērojot drošas kodēšanas prakses, veicot regulāras drošības audita pārbaudes un ieviešot citus drošības pasākumus, jūs varat izveidot drošāku un noturīgāku programmatūras vidi.

Resursi

• Bandit Dokumentācija
• OWASP (Open Web Application Security Project)
• Bandit vietnē PyPI