Bandit Security Linting: Identificeren en mitigeren van Python-beveiligingskwetsbaarheden

In het complexe cyberbeveiligingslandschap van vandaag zijn proactieve beveiligingsmaatregelen van het grootste belang. Python, bekend om zijn veelzijdigheid en gebruiksgemak, is een populaire keuze voor diverse applicaties. Echter, zoals elke programmeertaal, kan Python-code kwetsbaar zijn voor beveiligingsproblemen. Dit is waar Bandit om de hoek komt kijken – een krachtige security linting tool ontworpen om automatisch potentiële beveiligingsfouten in uw Python-code te identificeren.

Wat is Bandit?

Bandit is een open-source security linter die specifiek is ontworpen voor Python. Het werkt door Python-code te scannen op veelvoorkomende beveiligingsproblemen, met behulp van een uitgebreide set plug-ins om potentiële kwetsbaarheden te identificeren. Zie het als een tool voor statische analyse die u helpt beveiligingsproblemen vroeg in de ontwikkelingscyclus op te sporen, voordat ze in productie kunnen worden misbruikt.

Bandit werkt door Python-code te parsen en een Abstract Syntax Tree (AST) op te bouwen. Vervolgens past het een reeks tests toe, gebaseerd op bekende kwetsbaarheidspatronen, op de AST. Wanneer een potentieel beveiligingsprobleem wordt gevonden, rapporteert Bandit dit met een ernstniveau, een betrouwbaarheidsniveau en een gedetailleerde beschrijving van het probleem.

Waarom Bandit gebruiken?

Het integreren van Bandit in uw ontwikkelworkflow biedt verschillende belangrijke voordelen:

• Vroege detectie van kwetsbaarheden: Bandit helpt u beveiligingskwetsbaarheden vroeg in het ontwikkelproces te identificeren, wat de kosten en moeite vermindert om ze later te herstellen.
• Verbeterde codekwaliteit: Door veilige programmeerpraktijken af te dwingen, draagt Bandit bij aan de algehele codekwaliteit en onderhoudbaarheid.
• Geautomatiseerde beveiligingsaudits: Bandit automatiseert het proces van beveiligingsaudits, waardoor het eenvoudiger wordt om ervoor te zorgen dat uw code voldoet aan de best practices voor beveiliging.
• Dekking van OWASP Top 10: Bandit bevat tests die veel van de kwetsbaarheden in de OWASP Top 10 aanpakken, waardoor u zich kunt beschermen tegen veelvoorkomende beveiligingsrisico's voor webapplicaties.
• Aanpasbare regels: U kunt de regels van Bandit aanpassen aan uw specifieke beveiligingseisen en programmeerstandaarden.
• Integratie met CI/CD-pijplijnen: Bandit kan eenvoudig worden geïntegreerd in uw Continuous Integration/Continuous Deployment (CI/CD) pijplijnen, zodat beveiligingscontroles automatisch worden uitgevoerd bij elke codewijziging.

Aan de slag met Bandit

Hier is een stapsgewijze handleiding om met Bandit aan de slag te gaan:

1. Installatie

U kunt Bandit installeren met pip, de Python-pakketbeheerder:

            pip install bandit
            

              
                Copy
              
            
          

2. Bandit uitvoeren

Gebruik het volgende commando om Bandit op uw Python-code uit te voeren:

            bandit -r 
            

              
                Copy
              
            
          

Vervang <directory> door de map met uw Python-code. De -r vlag vertelt Bandit om recursief alle Python-bestanden in de opgegeven map te scannen.

U kunt ook individuele bestanden opgeven:

            bandit  
            

              
                Copy
              
            
          

3. De resultaten interpreteren

Bandit zal een rapport genereren met details over alle mogelijke beveiligingskwetsbaarheden die in uw code zijn gevonden. Elke kwetsbaarheid krijgt een ernstniveau (bijv. HIGH, MEDIUM, LOW) en een betrouwbaarheidsniveau (bijv. HIGH, MEDIUM, LOW). Het rapport bevat ook een gedetailleerde beschrijving van het probleem en de coderegel waar het is gevonden.

Voorbeeld van Bandit-uitvoer:

            ./example.py:10:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:10
--------------------------------------------------

            

              
                Copy
              
            
          

Deze uitvoer geeft aan dat Bandit een kwetsbaarheid met hoge ernst heeft gevonden in het bestand example.py op regel 10. De kwetsbaarheid heeft te maken met het gebruik van subprocess.Popen met shell=True, wat bekend staat als kwetsbaar voor shell injection-aanvallen.

Veelvoorkomende beveiligingskwetsbaarheden gedetecteerd door Bandit

Bandit kan een breed scala aan veelvoorkomende beveiligingskwetsbaarheden in Python-code detecteren. Hier zijn enkele voorbeelden:

• Shell Injection (B602, B603): Het gebruik van subprocess.Popen of os.system met niet-vertrouwde invoer kan leiden tot shell injection-aanvallen.
• SQL Injection (B608): Het samenstellen van SQL-queries met string-concatenatie en door de gebruiker geleverde data kan uw applicatie blootstellen aan SQL injection-aanvallen.
• Hardgecodeerde wachtwoorden (B105): Wachtwoorden direct in uw code opslaan is een groot beveiligingsrisico.
• Zwakke cryptografie (B303, B304, B322): Het gebruik van zwakke of verouderde cryptografische algoritmen kan de vertrouwelijkheid en integriteit van uw gegevens in gevaar brengen.
• Onveilige deserialisatie (B301, B401): Het deserialiseren van gegevens uit niet-vertrouwde bronnen kan leiden tot de uitvoering van willekeurige code.
• XML External Entity (XXE) Injection (B405): Het parsen van XML-documenten uit niet-vertrouwde bronnen zonder de juiste sanering kan uw applicatie blootstellen aan XXE injection-aanvallen.
• Format string-kwetsbaarheden (B323): Het gebruik van door de gebruiker geleverde data in format strings zonder de juiste sanering kan leiden tot format string-kwetsbaarheden.
• Gebruik van `eval()` of `exec()` (B301): Deze functies voeren willekeurige code uit, en het gebruik ervan met niet-vertrouwde invoer is extreem gevaarlijk.
• Onveilig gebruik van tijdelijke bestanden (B308): Het aanmaken van tijdelijke bestanden op een voorspelbare locatie kan aanvallers in staat stellen gevoelige gegevens te overschrijven of te lezen.
• Ontbrekende of onjuiste foutafhandeling (B110): Het niet correct afhandelen van uitzonderingen kan gevoelige informatie blootleggen of leiden tot denial-of-service-aanvallen.

Voorbeeld: Een shell injection-kwetsbaarheid identificeren en oplossen

Laten we kijken naar een eenvoudig voorbeeld van hoe Bandit u kan helpen een shell injection-kwetsbaarheid te identificeren en op te lossen.

Beschouw de volgende Python-code:

            import subprocess
import os

def execute_command(command):
    subprocess.Popen(command, shell=True)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

Deze code neemt gebruikersinvoer en voert deze uit als een shell-commando met behulp van subprocess.Popen met shell=True. Dit is een klassiek voorbeeld van een shell injection-kwetsbaarheid.

Het uitvoeren van Bandit op deze code zal de volgende uitvoer produceren:

            ./example.py:4:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:4
--------------------------------------------------

            

              
                Copy
              
            
          

Bandit identificeert correct het gebruik van subprocess.Popen met shell=True als een kwetsbaarheid met hoge ernst.

Om deze kwetsbaarheid op te lossen, moet u het gebruik van shell=True vermijden en in plaats daarvan het commando en de argumenten als een lijst doorgeven aan subprocess.Popen. U moet ook de gebruikersinvoer saneren om te voorkomen dat kwaadaardige commando's worden geïnjecteerd.

Hier is een gecorrigeerde versie van de code:

            import subprocess
import shlex

def execute_command(command):
    # Sanitize the input using shlex.split to prevent shell injection
    command_list = shlex.split(command)
    subprocess.Popen(command_list)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

Door shlex.split te gebruiken om de gebruikersinvoer te saneren en het commando als een lijst door te geven aan subprocess.Popen, kunt u het risico op shell injection-aanvallen beperken.

Het uitvoeren van Bandit op de gecorrigeerde code zal de shell injection-kwetsbaarheid niet langer rapporteren.

Bandit configureren

Bandit kan worden geconfigureerd met een configuratiebestand (bandit.yaml of .bandit) om zijn gedrag aan te passen. U kunt het configuratiebestand gebruiken om:

• Bestanden of mappen uitsluiten: Specificeer bestanden of mappen die moeten worden uitgesloten van de scan.
• Specifieke tests uitschakelen: Schakel tests uit die niet relevant zijn voor uw project.
• Ernstniveaus aanpassen: Wijzig de ernstniveaus van specifieke kwetsbaarheden.
• Aangepaste regels definiëren: Creëer uw eigen aangepaste regels om projectspecifieke beveiligingsproblemen te detecteren.

Hier is een voorbeeld van een bandit.yaml-configuratiebestand:

            exclude:
  - 'tests/'
  - 'docs/'

skips:
  - 'B101'

confidence_level:
  MEDIUM:
    - 'B603'

severity_level:
  LOW:
    - 'B105'

            

              
                Copy
              
            
          

Dit configuratiebestand sluit de mappen tests/ en docs/ uit van de scan, slaat de B101-test over (die controleert op het gebruik van assert-statements), past het betrouwbaarheidsniveau van de B603-test aan naar MEDIUM, en past het ernstniveau van de B105-test aan naar LOW.

Bandit integreren in uw CI/CD-pijplijn

Het integreren van Bandit in uw CI/CD-pijplijn is een cruciale stap om de beveiliging van uw Python-code te waarborgen. Door Bandit automatisch uit te voeren bij elke codewijziging, kunt u beveiligingskwetsbaarheden vroegtijdig opsporen en voorkomen dat ze de productie bereiken.

Hier is een voorbeeld van hoe u Bandit kunt integreren in een GitLab CI/CD-pijplijn:

            stages:
  - test

bandit:
  image: python:3.9
  stage: test
  before_script:
    - pip install bandit
  script:
    - bandit -r .
  artifacts:
    reports:
      bandit: bandit.report

            

              
                Copy
              
            
          

Deze configuratie definieert een bandit-taak die Bandit uitvoert op de huidige map. De taak gebruikt een Python 3.9 Docker-image en installeert Bandit met pip. Het commando bandit -r . voert Bandit recursief uit op alle Python-bestanden in de huidige map. De artifacts-sectie specificeert dat het Bandit-rapport moet worden opgeslagen als een artefact, dat kan worden gedownload en bekeken.

Vergelijkbare configuraties kunnen worden gemaakt voor andere CI/CD-platforms, zoals Jenkins, CircleCI en GitHub Actions.

Verder dan Bandit: Uitgebreide beveiligingsstrategieën

Hoewel Bandit een waardevol hulpmiddel is voor het identificeren van mogelijke beveiligingskwetsbaarheden, is het belangrijk te onthouden dat het slechts één onderdeel is van een uitgebreide beveiligingsstrategie. Andere belangrijke beveiligingspraktijken zijn onder meer:

• Veilige programmeerpraktijken: Volg richtlijnen en best practices voor veilig programmeren om het risico op het introduceren van kwetsbaarheden in uw code te minimaliseren.
• Regelmatige beveiligingsaudits: Voer regelmatig beveiligingsaudits uit om potentiële beveiligingszwaktes in uw applicatie te identificeren en aan te pakken.
• Penetratietesten: Voer penetratietesten uit om aanvallen uit de echte wereld te simuleren en kwetsbaarheden te identificeren die mogelijk niet worden gedetecteerd door statische analysetools zoals Bandit.
• Kwetsbaarheidsbeheer: Implementeer een kwetsbaarheidsbeheerprogramma om kwetsbaarheden in uw software en infrastructuur te volgen en te verhelpen.
• Afhankelijkheidsbeheer: Houd uw afhankelijkheden up-to-date om bekende kwetsbaarheden in bibliotheken van derden te patchen. Tools zoals `pip-audit` en `safety` kunnen hierbij helpen.
• Invoervalidatie en -sanering: Valideer en saneer altijd gebruikersinvoer om injection-aanvallen en andere invoergerelateerde kwetsbaarheden te voorkomen.
• Authenticatie en autorisatie: Implementeer sterke authenticatie- en autorisatiemechanismen om gevoelige gegevens en bronnen te beschermen.
• Beveiligingsbewustzijnstraining: Bied beveiligingsbewustzijnstraining aan uw ontwikkelaars en andere medewerkers om hen te informeren over veelvoorkomende beveiligingsrisico's en best practices.

Conclusie

Bandit is een waardevol hulpmiddel voor het identificeren en mitigeren van beveiligingskwetsbaarheden in Python-code. Door Bandit in uw ontwikkelworkflow te integreren, kunt u de beveiliging van uw applicaties verbeteren en u beschermen tegen veelvoorkomende beveiligingsrisico's. Het is echter belangrijk te onthouden dat Bandit slechts één onderdeel is van een uitgebreide beveiligingsstrategie. Door veilige programmeerpraktijken te volgen, regelmatig beveiligingsaudits uit te voeren en andere beveiligingsmaatregelen te implementeren, kunt u een veiligere en veerkrachtigere softwareomgeving creëren.

Bronnen

• Bandit Documentatie
• OWASP (Open Web Application Security Project)
• Bandit op PyPI