Bandit xavfsizlik linteri: Python'dagi xavfsizlik zaifliklarini aniqlash va bartaraf etish

Bugungi murakkab kiberxavfsizlik sharoitida proaktiv xavfsizlik choralari juda muhim. O'zining ko'p qirraliligi va foydalanish qulayligi bilan tanilgan Python turli ilovalar uchun mashhur tanlovdir. Biroq, har qanday dasturlash tili kabi, Python kodi ham xavfsizlik zaifliklariga moyil bo'lishi mumkin. Aynan shu yerda Bandit yordamga keladi – Python kodingizdagi potentsial xavfsizlik kamchiliklarini avtomatik ravishda aniqlash uchun mo'ljallangan kuchli xavfsizlik linteri.

Bandit nima?

Bandit - bu Python uchun maxsus ishlab chiqilgan ochiq manbali xavfsizlik linteridir. U Python kodini keng tarqalgan xavfsizlik muammolari uchun skanerlash orqali ishlaydi va potentsial zaifliklarni aniqlash uchun keng qamrovli plaginlar to'plamidan foydalanadi. Uni ishlab chiqarishda ekspluatatsiya qilinishidan oldin, ishlab chiqish jarayonining dastlabki bosqichlarida xavfsizlik muammolarini aniqlashga yordam beradigan statik tahlil vositasi deb hisoblang.

Bandit Python kodini tahlil qilish va Abstrakt Sintaksis Daraxtini (AST) yaratish orqali ishlaydi. So'ngra u ma'lum zaiflik naqshlariga asoslangan bir qator testlarni ASTga qo'llaydi. Potentsial xavfsizlik muammosi topilganda, Bandit bu haqda jiddiylik darajasi, ishonch darajasi va muammoning batafsil tavsifi bilan xabar beradi.

Nima uchun Bandit'dan foydalanish kerak?

Bandit'ni ishlab chiqish jarayoniga integratsiya qilish bir nechta muhim afzalliklarni beradi:

• Zaifliklarni erta aniqlash: Bandit xavfsizlik zaifliklarini ishlab chiqish jarayonining dastlabki bosqichlarida aniqlashga yordam beradi, bu esa keyinchalik ularni tuzatish uchun zarur bo'lgan xarajat va sa'y-harakatlarni kamaytiradi.
• Kod sifatini yaxshilash: Xavfsiz kodlash amaliyotlarini joriy etish orqali Bandit umumiy kod sifati va qo'llab-quvvatlanishiga hissa qo'shadi.
• Avtomatlashtirilgan xavfsizlik auditlari: Bandit xavfsizlik auditi jarayonini avtomatlashtiradi, bu esa kodingizning eng yaxshi xavfsizlik amaliyotlariga mos kelishini ta'minlashni osonlashtiradi.
• OWASP Top 10 ro'yxatini qamrab olish: Bandit OWASP Top 10 ro'yxatida keltirilgan ko'plab zaifliklarni bartaraf etadigan testlarni o'z ichiga oladi, bu esa keng tarqalgan veb-ilova xavfsizligi xatarlaridan himoyalanishga yordam beradi.
• Moslashtiriladigan qoidalar: Siz Bandit qoidalarini o'zingizning maxsus xavfsizlik talablaringiz va kodlash standartlaringizga mos ravishda sozlashingiz mumkin.
• CI/CD konveyerlari bilan integratsiya: Bandit'ni Uzluksiz Integratsiya/Uzluksiz Yetkazib berish (CI/CD) konveyerlariga osongina integratsiya qilish mumkin, bu esa har bir kod o'zgarishida xavfsizlik tekshiruvlari avtomatik ravishda bajarilishini ta'minlaydi.

Bandit bilan ishlashni boshlash

Bandit bilan ishlashni boshlash uchun bosqichma-bosqich qo'llanma:

1. O'rnatish

Siz Bandit'ni Python paket o'rnatuvchisi bo'lgan pip yordamida o'rnatishingiz mumkin:

            pip install bandit
            

              
                Copy
              
            
          

2. Bandit'ni ishga tushirish

Python kodingizda Bandit'ni ishga tushirish uchun quyidagi buyruqdan foydalaning:

            bandit -r <katalog>
            

              
                Copy
              
            
          

<katalog> ni Python kodingiz joylashgan katalog bilan almashtiring. -r bayrog'i Bandit'ga ko'rsatilgan katalogdagi barcha Python fayllarini rekursiv tarzda skanerlashni buyuradi.

Siz alohida fayllarni ham ko'rsatishingiz mumkin:

            bandit <fayl1.py> <fayl2.py>
            

              
                Copy
              
            
          

3. Natijalarni tahlil qilish

Bandit kodingizda topilgan har qanday potentsial xavfsizlik zaifliklari haqida batafsil hisobot chiqaradi. Har bir zaiflikka jiddiylik darajasi (masalan, YUQORI, O'RTA, PAST) va ishonch darajasi (masalan, YUQORI, O'RTA, PAST) beriladi. Hisobotda, shuningdek, zaiflikning batafsil tavsifi va u topilgan kod satri ham ko'rsatiladi.

Bandit chiqishiga misol:

            ./example.py:10:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:10
--------------------------------------------------

            

              
                Copy
              
            
          

Ushbu chiqish Bandit example.py faylining 10-satrida yuqori darajadagi zaiflikni topganini ko'rsatadi. Zaiflik subprocess.Popen ni shell=True bilan ishlatish bilan bog'liq bo'lib, bu shell injection hujumlariga moyil ekanligi ma'lum.

Bandit tomonidan aniqlanadigan keng tarqalgan xavfsizlik zaifliklari

Bandit Python kodidagi keng ko'lamli umumiy xavfsizlik zaifliklarini aniqlay oladi. Mana bir nechta misollar:

• Shell Injection (B602, B603): Ishonchsiz kiritishlar bilan subprocess.Popen yoki os.system dan foydalanish shell injection hujumlariga olib kelishi mumkin.
• SQL Injection (B608): Foydalanuvchi tomonidan taqdim etilgan ma'lumotlar bilan satrlarni birlashtirish orqali SQL so'rovlarini yaratish ilovangizni SQL injection hujumlariga duchor qilishi mumkin.
• Kodga kiritilgan parollar (B105): Parollarni to'g'ridan-to'g'ri kodingizda saqlash katta xavfsizlik xavfidir.
• Zaif kriptografiya (B303, B304, B322): Zaif yoki eskirgan kriptografik algoritmlardan foydalanish ma'lumotlaringizning maxfiyligi va yaxlitligini buzishi mumkin.
• Xavfsiz deserializatsiya (B301, B401): Ishonchsiz manbalardan ma'lumotlarni deserializatsiya qilish ixtiyoriy kod bajarilishiga olib kelishi mumkin.
• XML tashqi ob'ekt (XXE) injeksiyasi (B405): Ishonchsiz manbalardan XML hujjatlarini to'g'ri tozalashsiz tahlil qilish ilovangizni XXE injection hujumlariga duchor qilishi mumkin.
• Format satri zaifliklari (B323): Format satrlarida foydalanuvchi tomonidan taqdim etilgan ma'lumotlarni to'g'ri tozalashsiz ishlatish format satri zaifliklariga olib kelishi mumkin.
• `eval()` yoki `exec()` dan foydalanish (B301): Bu funksiyalar ixtiyoriy kodni bajaradi va ularni ishonchsiz kiritishlar bilan ishlatish o'ta xavflidir.
• Vaqtinchalik fayllardan xavfsiz foydalanmaslik (B308): Oldindan aytish mumkin bo'lgan joyda vaqtinchalik fayllarni yaratish tajovuzkorlarga maxfiy ma'lumotlarni yozib yuborish yoki o'qish imkonini berishi mumkin.
• Xatoliklarni qayta ishlashning yo'qligi yoki noto'g'riligi (B110): Istisnolarni to'g'ri qayta ishlamaslik maxfiy ma'lumotlarni fosh qilishi yoki xizmat ko'rsatishni rad etish hujumlariga olib kelishi mumkin.

Misol: Shell Injection zaifligini aniqlash va tuzatish

Keling, Bandit sizga shell injection zaifligini aniqlash va tuzatishda qanday yordam berishi mumkinligini oddiy misolda ko'rib chiqaylik.

Quyidagi Python kodini ko'rib chiqing:

            import subprocess
import os

def execute_command(command):
    subprocess.Popen(command, shell=True)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

Ushbu kod foydalanuvchi kiritishini oladi va uni subprocess.Popen yordamida shell=True bilan shell buyrug'i sifatida bajaradi. Bu shell injection zaifligining klassik namunasidir.

Ushbu kodda Bandit'ni ishga tushirish quyidagi natijani beradi:

            ./example.py:4:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:4
--------------------------------------------------

            

              
                Copy
              
            
          

Bandit subprocess.Popen ning shell=True bilan ishlatilishini yuqori darajadagi zaiflik sifatida to'g'ri aniqlaydi.

Ushbu zaiflikni tuzatish uchun siz shell=True dan foydalanishdan qochishingiz va buning o'rniga buyruq va uning argumentlarini subprocess.Popen ga ro'yxat sifatida uzatishingiz kerak. Shuningdek, zararli buyruqlarning kiritilishini oldini olish uchun foydalanuvchi kiritishini tozalashingiz kerak.

Bu kodning tuzatilgan versiyasi:

            import subprocess
import shlex

def execute_command(command):
    # Shell injection'ning oldini olish uchun kiritilgan ma'lumotni shlex.split yordamida tozalang
    command_list = shlex.split(command)
    subprocess.Popen(command_list)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

Foydalanuvchi kiritishini tozalash uchun shlex.split dan foydalanish va buyruqni subprocess.Popen ga ro'yxat sifatida uzatish orqali siz shell injection hujumlari xavfini kamaytirishingiz mumkin.

Tuzatilgan kodda Bandit'ni ishga tushirish endi shell injection zaifligi haqida xabar bermaydi.

Bandit'ni sozlash

Bandit o'z xatti-harakatlarini sozlash uchun konfiguratsiya fayli (bandit.yaml yoki .bandit) yordamida sozlanishi mumkin. Konfiguratsiya faylidan quyidagilar uchun foydalanishingiz mumkin:

• Fayllar yoki kataloglarni istisno qilish: Skanerlashdan chiqarilishi kerak bo'lgan fayllar yoki kataloglarni belgilang.
• Maxsus testlarni o'chirish: Loyihangizga tegishli bo'lmagan testlarni o'chiring.
• Jiddiylik darajalarini sozlash: Maxsus zaifliklarning jiddiylik darajalarini o'zgartiring.
• Maxsus qoidalarni belgilash: Loyihaga xos xavfsizlik muammolarini aniqlash uchun o'zingizning maxsus qoidalaringizni yarating.

Bu bandit.yaml konfiguratsiya fayliga misol:

            exclude:
  - 'tests/'
  - 'docs/'

skips:
  - 'B101'

confidence_level:
  MEDIUM:
    - 'B603'

severity_level:
  LOW:
    - 'B105'

            

              
                Copy
              
            
          

Ushbu konfiguratsiya fayli tests/ va docs/ kataloglarini skanerlashdan chiqaradi, B101 testini (assert bayonotlaridan foydalanishni tekshiradi) o'tkazib yuboradi, B603 testining ishonch darajasini O'RTA ga va B105 testining jiddiylik darajasini PAST ga sozlaydi.

Bandit'ni CI/CD konveyeringizga integratsiya qilish

Bandit'ni CI/CD konveyeringizga integratsiya qilish Python kodingiz xavfsizligini ta'minlashda hal qiluvchi qadamdir. Har bir kod o'zgarishida Bandit'ni avtomatik ravishda ishga tushirish orqali siz xavfsizlik zaifliklarini erta aniqlashingiz va ularning ishlab chiqarishga yetib borishini oldini olishingiz mumkin.

Bandit'ni GitLab CI/CD konveyeriga qanday integratsiya qilishga misol:

            stages:
  - test

bandit:
  image: python:3.9
  stage: test
  before_script:
    - pip install bandit
  script:
    - bandit -r .
  artifacts:
    reports:
      bandit: bandit.report

            

              
                Copy
              
            
          

Ushbu konfiguratsiya joriy katalogda Bandit'ni ishga tushiradigan bandit vazifasini belgilaydi. Vazifa Python 3.9 Docker tasviridan foydalanadi va Bandit'ni pip yordamida o'rnatadi. bandit -r . buyrug'i joriy katalogdagi barcha Python fayllarida Bandit'ni rekursiv ravishda ishga tushiradi. artifacts bo'limi Bandit hisoboti artefakt sifatida saqlanishi kerakligini belgilaydi, uni yuklab olish va ko'rib chiqish mumkin.

Jenkins, CircleCI va GitHub Actions kabi boshqa CI/CD platformalari uchun ham shunga o'xshash konfiguratsiyalarni yaratish mumkin.

Bandit'dan tashqari: Kompleks xavfsizlik strategiyalari

Bandit potentsial xavfsizlik zaifliklarini aniqlash uchun qimmatli vosita bo'lsa-da, u faqat keng qamrovli xavfsizlik strategiyasining bir qismi ekanligini yodda tutish muhim. Boshqa muhim xavfsizlik amaliyotlariga quyidagilar kiradi:

• Xavfsiz kodlash amaliyotlari: Kodingizga zaifliklar kiritish xavfini kamaytirish uchun xavfsiz kodlash bo'yicha ko'rsatmalar va eng yaxshi amaliyotlarga rioya qiling.
• Muntazam xavfsizlik auditlari: Ilovangizdagi potentsial xavfsizlik zaifliklarini aniqlash va bartaraf etish uchun muntazam xavfsizlik auditlarini o'tkazing.
• Penetratsion testlar (Pen-testing): Haqiqiy dunyo hujumlarini simulyatsiya qilish va Bandit kabi statik tahlil vositalari tomonidan aniqlanmasligi mumkin bo'lgan zaifliklarni aniqlash uchun penetratsion testlarni o'tkazing.
• Zaifliklarni boshqarish: Dasturiy ta'minotingiz va infratuzilmangizdagi zaifliklarni kuzatib borish va bartaraf etish uchun zaifliklarni boshqarish dasturini joriy qiling.
• Bog'liqliklarni boshqarish: Uchinchi tomon kutubxonalaridagi ma'lum zaifliklarni tuzatish uchun bog'liqliklaringizni yangilab turing. `pip-audit` va `safety` kabi vositalar bu borada yordam berishi mumkin.
• Kiritilgan ma'lumotlarni tekshirish va tozalash: Injection hujumlari va kiritish bilan bog'liq boshqa zaifliklarning oldini olish uchun har doim foydalanuvchi kiritishini tekshiring va tozalang.
• Autentifikatsiya va avtorizatsiya: Maxfiy ma'lumotlar va resurslarni himoya qilish uchun kuchli autentifikatsiya va avtorizatsiya mexanizmlarini joriy qiling.
• Xavfsizlik bo'yicha xabardorlikni oshirish treninglari: Dasturchilaringiz va boshqa xodimlaringizni umumiy xavfsizlik tahdidlari va eng yaxshi amaliyotlar haqida o'qitish uchun xavfsizlik bo'yicha xabardorlikni oshirish treninglarini o'tkazing.

Xulosa

Bandit Python kodidagi xavfsizlik zaifliklarini aniqlash va bartaraf etish uchun qimmatli vositadir. Bandit'ni ishlab chiqish jarayoniga integratsiya qilish orqali siz ilovalaringiz xavfsizligini yaxshilashingiz va umumiy xavfsizlik tahdidlaridan himoyalanishingiz mumkin. Biroq, Bandit keng qamrovli xavfsizlik strategiyasining faqat bir qismi ekanligini yodda tutish muhimdir. Xavfsiz kodlash amaliyotlariga rioya qilish, muntazam xavfsizlik auditlarini o'tkazish va boshqa xavfsizlik choralarini amalga oshirish orqali siz xavfsizroq va barqarorroq dasturiy muhit yaratishingiz mumkin.

Resurslar

• Bandit hujjatlari
• OWASP (Ochiq veb-ilovalari xavfsizligi loyihasi)
• PyPI'da Bandit