Bandit Security Linting: выявление и смягчение угроз безопасности Python

В современном сложном ландшафте кибербезопасности решающее значение имеют упреждающие меры безопасности. Python, известный своей универсальностью и простотой использования, является популярным выбором для различных приложений. Однако, как и любой язык программирования, код Python может быть восприимчив к уязвимостям безопасности. Именно здесь на помощь приходит Bandit – мощный инструмент проверки безопасности, предназначенный для автоматического выявления потенциальных недостатков безопасности в вашем коде Python.

Что такое Bandit?

Bandit – это средство проверки безопасности с открытым исходным кодом, специально разработанное для Python. Он работает путем сканирования кода Python на предмет распространенных проблем безопасности, используя всеобъемлющий набор плагинов для выявления потенциальных уязвимостей. Думайте об этом как об инструменте статического анализа, который помогает вам выявлять проблемы безопасности на ранних этапах жизненного цикла разработки, прежде чем они смогут быть использованы в производственной среде.

Bandit работает путем анализа кода Python и построения абстрактного синтаксического дерева (AST). Затем он применяет серию тестов, основанных на известных шаблонах уязвимостей, к AST. При обнаружении потенциальной проблемы безопасности Bandit сообщает о ней с уровнем серьезности, уровнем достоверности и подробным описанием проблемы.

Зачем использовать Bandit?

Интеграция Bandit в ваш процесс разработки дает несколько существенных преимуществ:

• Раннее обнаружение уязвимостей: Bandit помогает выявлять уязвимости безопасности на ранних этапах процесса разработки, снижая затраты и усилия, необходимые для их исправления в дальнейшем.
• Улучшенное качество кода: Обеспечивая соблюдение методов безопасного кодирования, Bandit способствует повышению общего качества и удобства сопровождения кода.
• Автоматизированные аудиты безопасности: Bandit автоматизирует процесс аудита безопасности, упрощая обеспечение соответствия вашего кода передовым методам обеспечения безопасности.
• Охват OWASP Top 10: Bandit включает тесты, которые охватывают многие уязвимости, перечисленные в OWASP Top 10, помогая вам защититься от распространенных рисков безопасности веб-приложений.
• Настраиваемые правила: Вы можете настроить правила Bandit в соответствии с вашими конкретными требованиями безопасности и стандартами кодирования.
• Интеграция с конвейерами CI/CD: Bandit можно легко интегрировать в ваши конвейеры непрерывной интеграции/непрерывного развертывания (CI/CD), гарантируя, что проверки безопасности выполняются автоматически при каждом изменении кода.

Начало работы с Bandit

Вот пошаговое руководство по началу работы с Bandit:

1. Установка

Вы можете установить Bandit с помощью pip, установщика пакетов Python:

            pip install bandit
            

              
                Copy
              
            
          

2. Запуск Bandit

Чтобы запустить Bandit для своего кода Python, используйте следующую команду:

            bandit -r <directory>
            

              
                Copy
              
            
          

Замените <directory> каталогом, содержащим ваш код Python. Флаг -r указывает Bandit рекурсивно сканировать все файлы Python в указанном каталоге.

Вы также можете указать отдельные файлы:

            bandit <file1.py> <file2.py>
            

              
                Copy
              
            
          

3. Интерпретация результатов

Bandit выведет отчет с подробным описанием любых потенциальных уязвимостей безопасности, обнаруженных в вашем коде. Каждой уязвимости присваивается уровень серьезности (например, ВЫСОКИЙ, СРЕДНИЙ, НИЗКИЙ) и уровень достоверности (например, ВЫСОКИЙ, СРЕДНИЙ, НИЗКИЙ). Отчет также содержит подробное описание уязвимости и строку кода, в которой она была обнаружена.

Пример вывода Bandit:

            ./example.py:10:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:10
--------------------------------------------------

            

              
                Copy
              
            
          

Этот вывод указывает на то, что Bandit обнаружил уязвимость высокой степени серьезности в файле example.py в строке 10. Уязвимость связана с использованием subprocess.Popen с shell=True, которое, как известно, восприимчиво к атакам с внедрением команд.

Распространенные уязвимости безопасности, обнаруживаемые Bandit

Bandit может обнаруживать широкий спектр распространенных уязвимостей безопасности в коде Python. Вот несколько примеров:

• Внедрение команд (B602, B603): Использование subprocess.Popen или os.system с ненадежными входными данными может привести к атакам с внедрением команд.
• SQL-инъекции (B608): Создание SQL-запросов с использованием конкатенации строк с данными, предоставленными пользователем, может подвергнуть ваше приложение атакам SQL-инъекций.
• Жестко закодированные пароли (B105): Хранение паролей непосредственно в вашем коде – это серьезный риск безопасности.
• Слабая криптография (B303, B304, B322): Использование слабых или устаревших криптографических алгоритмов может поставить под угрозу конфиденциальность и целостность ваших данных.
• Небезопасная десериализация (B301, B401): Десериализация данных из ненадежных источников может привести к произвольному выполнению кода.
• Внедрение XML External Entity (XXE) (B405): Анализ XML-документов из ненадежных источников без надлежащей очистки может подвергнуть ваше приложение атакам XXE-инъекций.
• Уязвимости форматной строки (B323): Использование данных, предоставленных пользователем, в форматных строках без надлежащей очистки может привести к уязвимостям форматной строки.
• Использование `eval()` или `exec()` (B301): Эти функции выполняют произвольный код, и их использование с ненадежными входными данными крайне опасно.
• Небезопасное использование временных файлов (B308): Создание временных файлов в предсказуемом месте может позволить злоумышленникам перезаписать или прочитать конфиденциальные данные.
• Отсутствие или неправильная обработка ошибок (B110): Неправильная обработка исключений может раскрыть конфиденциальную информацию или привести к атакам типа «отказ в обслуживании».

Пример: выявление и исправление уязвимости, связанной с внедрением команд

Давайте рассмотрим простой пример того, как Bandit может помочь вам выявить и исправить уязвимость, связанную с внедрением команд.

Рассмотрим следующий код Python:

            import subprocess
import os

def execute_command(command):
    subprocess.Popen(command, shell=True)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

Этот код принимает ввод пользователя и выполняет его как команду оболочки с помощью subprocess.Popen с shell=True. Это классический пример уязвимости, связанной с внедрением команд.

Запуск Bandit для этого кода приведет к следующему выводу:

            ./example.py:4:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:4
--------------------------------------------------

            

              
                Copy
              
            
          

Bandit правильно определяет использование subprocess.Popen с shell=True как уязвимость высокой степени серьезности.

Чтобы исправить эту уязвимость, следует избегать использования shell=True и вместо этого передавать команду и ее аргументы в виде списка в subprocess.Popen. Вы также должны очистить пользовательский ввод, чтобы предотвратить внедрение вредоносных команд.

Вот исправленная версия кода:

            import subprocess
import shlex

def execute_command(command):
    # Sanitize the input using shlex.split to prevent shell injection
    command_list = shlex.split(command)
    subprocess.Popen(command_list)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

Используя shlex.split для очистки пользовательского ввода и передавая команду в виде списка в subprocess.Popen, вы можете снизить риск атак с внедрением команд.

Запуск Bandit для исправленного кода больше не будет сообщать об уязвимости, связанной с внедрением команд.

Настройка Bandit

Bandit можно настроить с помощью файла конфигурации (bandit.yaml или .bandit), чтобы настроить его поведение. Вы можете использовать файл конфигурации, чтобы:

• Исключить файлы или каталоги: Укажите файлы или каталоги, которые следует исключить из сканирования.
• Отключить определенные тесты: Отключите тесты, которые не относятся к вашему проекту.
• Настроить уровни серьезности: Измените уровни серьезности определенных уязвимостей.
• Определить пользовательские правила: Создайте свои собственные пользовательские правила для обнаружения проблем безопасности, специфичных для проекта.

Вот пример файла конфигурации bandit.yaml:

            exclude:
  - 'tests/'
  - 'docs/'

skips:
  - 'B101'

confidence_level:
  MEDIUM:
    - 'B603'

severity_level:
  LOW:
    - 'B105'

            

              
                Copy
              
            
          

Этот файл конфигурации исключает каталоги tests/ и docs/ из сканирования, пропускает тест B101 (который проверяет использование операторов assert), настраивает уровень достоверности теста B603 на СРЕДНИЙ и настраивает уровень серьезности теста B105 на НИЗКИЙ.

Интеграция Bandit в конвейер CI/CD

Интеграция Bandit в конвейер CI/CD – это важный шаг в обеспечении безопасности вашего кода Python. Автоматически запуская Bandit при каждом изменении кода, вы можете рано выявлять уязвимости безопасности и предотвращать их попадание в производство.

Вот пример того, как интегрировать Bandit в конвейер GitLab CI/CD:

            stages:
  - test

bandit:
  image: python:3.9
  stage: test
  before_script:
    - pip install bandit
  script:
    - bandit -r .
  artifacts:
    reports:
      bandit: bandit.report

            

              
                Copy
              
            
          

Эта конфигурация определяет задание bandit, которое запускает Bandit в текущем каталоге. Задание использует образ Docker Python 3.9 и устанавливает Bandit с помощью pip. Команда bandit -r . рекурсивно запускает Bandit для всех файлов Python в текущем каталоге. Раздел artifacts указывает, что отчет Bandit следует сохранить как артефакт, который можно загрузить и просмотреть.

Аналогичные конфигурации можно создать для других платформ CI/CD, таких как Jenkins, CircleCI и GitHub Actions.

Помимо Bandit: комплексные стратегии безопасности

Хотя Bandit является ценным инструментом для выявления потенциальных уязвимостей безопасности, важно помнить, что это лишь один из элементов комплексной стратегии безопасности. Другие важные методы обеспечения безопасности включают:

• Методы безопасного кодирования: Следуйте рекомендациям по безопасному кодированию и передовым методам, чтобы свести к минимуму риск внесения уязвимостей в ваш код.
• Регулярные аудиты безопасности: Проводите регулярные аудиты безопасности для выявления и устранения потенциальных слабых мест безопасности в вашем приложении.
• Тестирование на проникновение: Выполняйте тестирование на проникновение для имитации реальных атак и выявления уязвимостей, которые могут не быть обнаружены инструментами статического анализа, такими как Bandit.
• Управление уязвимостями: Внедрите программу управления уязвимостями для отслеживания и устранения уязвимостей в вашем программном обеспечении и инфраструктуре.
• Управление зависимостями: Поддерживайте свои зависимости в актуальном состоянии, чтобы исправить известные уязвимости в сторонних библиотеках. В этом могут помочь такие инструменты, как `pip-audit` и `safety`.
• Проверка и очистка входных данных: Всегда проверяйте и очищайте пользовательские входные данные, чтобы предотвратить атаки с внедрением и другие уязвимости, связанные с вводом.
• Аутентификация и авторизация: Внедрите надежные механизмы аутентификации и авторизации для защиты конфиденциальных данных и ресурсов.
• Обучение по вопросам безопасности: Проводите обучение по вопросам безопасности для своих разработчиков и других сотрудников, чтобы информировать их о распространенных угрозах безопасности и передовых методах.

Заключение

Bandit – это ценный инструмент для выявления и смягчения угроз безопасности в коде Python. Интегрируя Bandit в свой процесс разработки, вы можете повысить безопасность своих приложений и защититься от распространенных угроз безопасности. Однако важно помнить, что Bandit – это лишь один из элементов комплексной стратегии безопасности. Соблюдая методы безопасного кодирования, проводя регулярные аудиты безопасности и внедряя другие меры безопасности, вы можете создать более безопасную и устойчивую программную среду.

Ресурсы

• Документация Bandit
• OWASP (Open Web Application Security Project)
• Bandit в PyPI