17. september 2025Slovenščina

Raziščite Bandit, zmogljivo varnostno orodje za Python. Naučite se odkrivati ranljivosti, izvajati varne prakse kodiranja in izboljšati varnost vaše programske opreme.

Varnostni linter Bandit: Prepoznavanje in odpravljanje varnostnih ranljivosti v Pythonu

V današnjem kompleksnem kibernetskem okolju so proaktivni varnostni ukrepi ključnega pomena. Python, znan po svoji vsestranskosti in enostavnosti uporabe, je priljubljena izbira za različne aplikacije. Vendar pa je lahko, kot vsak programski jezik, tudi koda v Pythonu dovzetna za varnostne ranljivosti. Tu nastopi Bandit – zmogljivo varnostno orodje za preverjanje kode (linter), zasnovano za samodejno prepoznavanje potencialnih varnostnih pomanjkljivosti v vaši kodi Python.

Kaj je Bandit?

Bandit je odprtokodno varnostno orodje za preverjanje kode, posebej zasnovano za Python. Deluje tako, da pregleduje kodo Python za pogoste varnostne težave z uporabo obsežnega nabora vtičnikov za prepoznavanje potencialnih ranljivosti. Predstavljajte si ga kot orodje za statično analizo, ki vam pomaga odkriti varnostne težave zgodaj v življenjskem ciklu razvoja, preden jih je mogoče izkoristiti v produkciji.

Bandit deluje tako, da razčleni kodo Python in zgradi abstraktno sintaktično drevo (AST). Nato na AST uporabi vrsto testov, ki temeljijo na znanih vzorcih ranljivosti. Ko je odkrita potencialna varnostna težava, Bandit poroča o njej z stopnjo resnosti, stopnjo zaupanja in podrobnim opisom težave.

Zakaj uporabljati Bandit?

Vključitev Bandita v vaš razvojni potek dela ponuja več pomembnih prednosti:

Zgodnje odkrivanje ranljivosti: Bandit vam pomaga prepoznati varnostne ranljivosti zgodaj v razvojnem procesu, kar zmanjša stroške in trud, potrebna za njihovo kasnejše odpravljanje.
Izboljšana kakovost kode: Z uveljavljanjem varnih praks kodiranja Bandit prispeva k splošni kakovosti in vzdrževanju kode.
Avtomatizirane varnostne revizije: Bandit avtomatizira postopek varnostne revizije, kar olajša zagotavljanje skladnosti vaše kode z najboljšimi varnostnimi praksami.
Pokritost OWASP Top 10: Bandit vključuje teste, ki obravnavajo številne ranljivosti, navedene v OWASP Top 10, kar vam pomaga zaščititi se pred pogostimi tveganji za varnost spletnih aplikacij.
Prilagodljiva pravila: Pravila Bandita lahko prilagodite svojim specifičnim varnostnim zahtevam in standardom kodiranja.
Integracija z CI/CD cevovodi: Bandit je mogoče enostavno vključiti v vaše cevovode za neprekinjeno integracijo/neprekinjeno dostavo (CI/CD), kar zagotavlja samodejno izvajanje varnostnih preverjanj ob vsaki spremembi kode.

Kako začeti z Banditom

Tukaj je vodnik po korakih za začetek uporabe Bandita:

1. Namestitev

Bandit lahko namestite z uporabo pip, namestitvenega programa za pakete Python:

            pip install bandit

2. Zagon Bandita

Za zagon Bandita na vaši kodi Python uporabite naslednji ukaz:

            bandit -r

Zamenjajte <directory> z imenikom, ki vsebuje vašo kodo Python. Zastavica -r pove Banditu, naj rekurzivno pregleda vse datoteke Python v navedenem imeniku.

Določite lahko tudi posamezne datoteke:

            bandit

3. Razlaga rezultatov

Bandit bo izpisal poročilo s podrobnostmi o vseh potencialnih varnostnih ranljivostih, najdenih v vaši kodi. Vsaki ranljivosti je dodeljena stopnja resnosti (npr. HIGH, MEDIUM, LOW) in stopnja zaupanja (npr. HIGH, MEDIUM, LOW). Poročilo vključuje tudi podroben opis ranljivosti in vrstico kode, kjer je bila najdena.

Primer izpisa Bandita:

            ./example.py:10:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:10
--------------------------------------------------

Ta izpis kaže, da je Bandit našel ranljivost visoke resnosti v datoteki example.py v vrstici 10. Ranljivost je povezana z uporabo subprocess.Popen s shell=True, kar je znano kot dovzetno za napade z vbrizgavanjem ukazov v lupino (shell injection).

Pogoste varnostne ranljivosti, ki jih odkrije Bandit

Bandit lahko odkrije širok spekter pogostih varnostnih ranljivosti v kodi Python. Tukaj je nekaj primerov:

Vbrizgavanje ukazov v lupino (Shell Injection) (B602, B603): Uporaba subprocess.Popen ali os.system z nezaupanja vrednim vnosom lahko vodi do napadov z vbrizgavanjem ukazov.
Vbrizgavanje SQL (SQL Injection) (B608): Sestavljanje poizvedb SQL z uporabo združevanja nizov s podatki, ki jih posreduje uporabnik, lahko izpostavi vašo aplikacijo napadom SQL injection.
Trdo kodirana gesla (B105): Shranjevanje gesel neposredno v kodi je veliko varnostno tveganje.
Šibka kriptografija (B303, B304, B322): Uporaba šibkih ali zastarelih kriptografskih algoritmov lahko ogrozi zaupnost in celovitost vaših podatkov.
Nevarna deserializacija (B301, B401): Deserializacija podatkov iz nezaupanja vrednih virov lahko vodi do poljubnega izvajanja kode.
Vbrizgavanje zunanjih entitet XML (XXE) (B405): Razčlenjevanje dokumentov XML iz nezaupanja vrednih virov brez ustrezne sanacije lahko izpostavi vašo aplikacijo napadom XXE.
Ranljivosti formatnega niza (B323): Uporaba podatkov, ki jih posreduje uporabnik, v formatnih nizih brez ustrezne sanacije lahko vodi do ranljivosti formatnega niza.
Uporaba `eval()` ali `exec()` (B301): Ti funkciji izvajata poljubno kodo, in njuna uporaba z nezaupanja vrednim vnosom je izjemno nevarna.
Nevarna uporaba začasnih datotek (B308): Ustvarjanje začasnih datotek na predvidljivi lokaciji lahko napadalcem omogoči prepisovanje ali branje občutljivih podatkov.
Manjkajoče ali napačno obravnavanje napak (B110): Nepravilno obravnavanje izjem lahko razkrije občutljive informacije ali vodi do napadov za zavrnitev storitve.

Primer: Prepoznavanje in odpravljanje ranljivosti vbrizgavanja ukazov

Poglejmo si preprost primer, kako vam lahko Bandit pomaga prepoznati in odpraviti ranljivost vbrizgavanja ukazov.

Razmislite o naslednji kodi Python:

            import subprocess
import os

def execute_command(command):
    subprocess.Popen(command, shell=True)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

Ta koda sprejme uporabniški vnos in ga izvede kot ukaz v lupini z uporabo subprocess.Popen s shell=True. To je klasičen primer ranljivosti vbrizgavanja ukazov.

Zagon Bandita na tej kodi bo ustvaril naslednji izpis:

            ./example.py:4:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:4
--------------------------------------------------

Bandit pravilno prepozna uporabo subprocess.Popen s shell=True kot ranljivost visoke resnosti.

Za odpravo te ranljivosti se izogibajte uporabi shell=True in namesto tega posredujte ukaz ter njegove argumente kot seznam v subprocess.Popen. Prav tako morate sanirati uporabniški vnos, da preprečite vbrizgavanje zlonamernih ukazov.

Tukaj je popravljena različica kode:

            import subprocess
import shlex

def execute_command(command):
    # Sanitize the input using shlex.split to prevent shell injection
    command_list = shlex.split(command)
    subprocess.Popen(command_list)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

Z uporabo shlex.split za sanacijo uporabniškega vnosa in posredovanjem ukaza kot seznama v subprocess.Popen lahko zmanjšate tveganje za napade z vbrizgavanjem ukazov.

Zagon Bandita na popravljeni kodi ne bo več poročal o ranljivosti vbrizgavanja ukazov.

Konfiguracija Bandita

Bandit je mogoče konfigurirati z uporabo konfiguracijske datoteke (bandit.yaml ali .bandit) za prilagoditev njegovega delovanja. Konfiguracijsko datoteko lahko uporabite za:

Izključitev datotek ali imenikov: Določite datoteke ali imenike, ki naj bodo izključeni iz pregleda.
Onemogočanje določenih testov: Onemogočite teste, ki niso pomembni za vaš projekt.
Prilagajanje stopenj resnosti: Spremenite stopnje resnosti določenih ranljivosti.
Definiranje pravil po meri: Ustvarite svoja pravila po meri za odkrivanje varnostnih težav, specifičnih za projekt.

Tukaj je primer konfiguracijske datoteke bandit.yaml:

            exclude:
  - 'tests/'
  - 'docs/'

skips:
  - 'B101'

confidence_level:
  MEDIUM:
    - 'B603'

severity_level:
  LOW:
    - 'B105'

Ta konfiguracijska datoteka iz skeniranja izključi direktorija tests/ in docs/, preskoči test B101 (ki preverja uporabo izjav assert), prilagodi stopnjo zaupanja testa B603 na MEDIUM in prilagodi stopnjo resnosti testa B105 na LOW.

Integracija Bandita v vaš CI/CD cevovod

Vključitev Bandita v vaš CI/CD cevovod je ključen korak pri zagotavljanju varnosti vaše kode Python. S samodejnim zagonom Bandita ob vsaki spremembi kode lahko zgodaj odkrijete varnostne ranljivosti in preprečite, da bi prišle v produkcijo.

Tukaj je primer, kako vključiti Bandit v GitLab CI/CD cevovod:

            stages:
  - test

bandit:
  image: python:3.9
  stage: test
  before_script:
    - pip install bandit
  script:
    - bandit -r .
  artifacts:
    reports:
      bandit: bandit.report

Ta konfiguracija definira opravilo bandit, ki zažene Bandit v trenutnem imeniku. Opravilo uporablja Docker sliko Python 3.9 in namesti Bandit z uporabo pip. Ukaz bandit -r . rekurzivno zažene Bandit na vseh datotekah Python v trenutnem imeniku. Oddelek artifacts določa, da se poročilo Bandita shrani kot artefakt, ki ga je mogoče prenesti in pregledati.

Podobne konfiguracije je mogoče ustvariti za druge platforme CI/CD, kot so Jenkins, CircleCI in GitHub Actions.

Onkraj Bandita: Celovite varnostne strategije

Čeprav je Bandit dragoceno orodje za prepoznavanje potencialnih varnostnih ranljivosti, je pomembno vedeti, da je le en del celovite varnostne strategije. Druge pomembne varnostne prakse vključujejo:

Varne prakse kodiranja: Sledite smernicam za varno kodiranje in najboljšim praksam, da zmanjšate tveganje za vnos ranljivosti v vašo kodo.
Redne varnostne revizije: Izvajajte redne varnostne revizije za prepoznavanje in odpravljanje potencialnih varnostnih šibkosti v vaši aplikaciji.
Penetracijsko testiranje: Izvajajte penetracijsko testiranje za simulacijo resničnih napadov in prepoznavanje ranljivosti, ki jih orodja za statično analizo, kot je Bandit, morda ne odkrijejo.
Upravljanje ranljivosti: Vzpostavite program za upravljanje ranljivosti za sledenje in odpravljanje ranljivosti v vaši programski opremi in infrastrukturi.
Upravljanje odvisnosti: Posodabljajte svoje odvisnosti, da popravite znane ranljivosti v knjižnicah tretjih oseb. Pri tem vam lahko pomagajo orodja, kot sta `pip-audit` in `safety`.
Preverjanje in sanacija vnosa: Vedno preverjajte in sanirajte uporabniški vnos, da preprečite napade z vbrizgavanjem in druge ranljivosti, povezane z vnosom.
Preverjanje pristnosti in avtorizacija: Vzpostavite močne mehanizme za preverjanje pristnosti in avtorizacijo za zaščito občutljivih podatkov in virov.
Usposabljanje za ozaveščanje o varnosti: Zagotovite usposabljanje za ozaveščanje o varnosti svojim razvijalcem in drugim zaposlenim, da jih izobrazite o pogostih varnostnih grožnjah in najboljših praksah.

Zaključek

Bandit je dragoceno orodje za prepoznavanje in odpravljanje varnostnih ranljivosti v kodi Python. Z vključitvijo Bandita v vaš razvojni potek dela lahko izboljšate varnost svojih aplikacij in se zaščitite pred pogostimi varnostnimi grožnjami. Vendar pa je pomembno vedeti, da je Bandit le en del celovite varnostne strategije. S sledenjem varnim praksam kodiranja, izvajanjem rednih varnostnih revizij in uvajanjem drugih varnostnih ukrepov lahko ustvarite bolj varno in odporno programsko okolje.