Bandit 安全扫描：识别和缓解 Python 安全漏洞

在当今复杂的网络安全环境中，主动的安全措施至关重要。 Python 以其多功能性和易用性而闻名，是各种应用程序的流行选择。但是，与任何编程语言一样，Python 代码也容易受到安全漏洞的影响。这就是 Bandit 的用武之地——一款强大的安全扫描工具，旨在自动识别 Python 代码中潜在的安全缺陷。

什么是 Bandit？

Bandit 是一款专为 Python 设计的开源安全扫描器。它通过扫描 Python 代码中常见的安全问题来工作，使用一套全面的插件来识别潜在的漏洞。可以将其视为一种静态分析工具，可帮助您在开发生命周期的早期发现安全问题，然后在生产环境中利用这些问题。

Bandit 通过解析 Python 代码并构建抽象语法树 (AST) 来运行。然后，它根据已知的漏洞模式应用一系列测试到 AST。当发现潜在的安全问题时，Bandit 会报告它，并附带一个严重程度级别、置信度级别以及对该问题的详细描述。

为什么使用 Bandit？

将 Bandit 集成到您的开发工作流程中具有几个显著的优势：

• 早期漏洞检测： Bandit 可帮助您在开发过程的早期发现安全漏洞，从而降低以后修复这些漏洞所需的成本和精力。
• 提高代码质量： 通过实施安全编码实践，Bandit 有助于提高整体代码质量和可维护性。
• 自动化安全审计： Bandit 自动化了安全审计过程，使您更容易确保您的代码符合安全最佳实践。
• OWASP Top 10 覆盖范围： Bandit 包含解决 OWASP Top 10 中列出的许多漏洞的测试，帮助您防范常见的 Web 应用程序安全风险。
• 可自定义的规则： 您可以自定义 Bandit 的规则以适应您的特定安全要求和编码标准。
• 与 CI/CD 管道集成： Bandit 可以轻松地集成到您的持续集成/持续部署 (CI/CD) 管道中，确保在每次代码更改时自动执行安全检查。

Bandit 入门

以下是 Bandit 入门的逐步指南：

1. 安装

您可以使用 pip（Python 包安装程序）安装 Bandit：

            pip install bandit
            

              
                Copy
              
            
          

2. 运行 Bandit

要在您的 Python 代码上运行 Bandit，请使用以下命令：

            bandit -r 
            

              
                Copy
              
            
          

将 <directory> 替换为包含您的 Python 代码的目录。 -r 标志告诉 Bandit 递归扫描指定目录中的所有 Python 文件。

您还可以指定单个文件：

            bandit  
            

              
                Copy
              
            
          

3. 解释结果

Bandit 将输出一份报告，详细说明在您的代码中发现的任何潜在安全漏洞。每个漏洞都被分配一个严重程度级别（例如，高、中、低）和一个置信度级别（例如，高、中、低）。该报告还包括对漏洞的详细描述以及发现漏洞的代码行。

Bandit 输出示例：

            ./example.py:10:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:10
--------------------------------------------------

            

              
                Copy
              
            
          

此输出表明 Bandit 在文件 example.py 的第 10 行中发现了高严重性的漏洞。该漏洞与使用 subprocess.Popen 且 shell=True 相关，已知容易受到 shell 注入攻击。

Bandit 检测到的常见安全漏洞

Bandit 可以检测到 Python 代码中各种常见的安全漏洞。以下是一些示例：

• Shell 注入 (B602, B603)： 使用带有不受信任输入的 subprocess.Popen 或 os.system 可能会导致 shell 注入攻击。
• SQL 注入 (B608)： 使用用户提供的数据通过字符串连接构造 SQL 查询可能会使您的应用程序容易受到 SQL 注入攻击。
• 硬编码密码 (B105)： 将密码直接存储在您的代码中是一个重大的安全风险。
• 弱加密 (B303, B304, B322)： 使用弱或过时的加密算法可能会损害您数据的机密性和完整性。
• 不安全的反序列化 (B301, B401)： 从不受信任的来源反序列化数据可能会导致任意代码执行。
• XML 外部实体 (XXE) 注入 (B405)： 在没有适当清理的情况下，从不受信任的来源解析 XML 文档可能会使您的应用程序容易受到 XXE 注入攻击。
• 格式字符串漏洞 (B323)： 在没有适当清理的情况下，在格式字符串中使用用户提供的数据可能会导致格式字符串漏洞。
• 使用 `eval()` 或 `exec()` (B301)： 这些函数执行任意代码，将它们与不受信任的输入一起使用非常危险。
• 不安全的临时文件使用 (B308)： 在可预测的位置创建临时文件可能会让攻击者覆盖或读取敏感数据。
• 缺少或不正确的错误处理 (B110)： 无法正确处理异常可能会泄露敏感信息或导致拒绝服务攻击。

示例：识别和修复 Shell 注入漏洞

让我们看一个简单的示例，说明 Bandit 如何帮助您识别和修复 shell 注入漏洞。

考虑以下 Python 代码：

            import subprocess
import os

def execute_command(command):
    subprocess.Popen(command, shell=True)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

此代码接受用户输入，并使用带有 shell=True 的 subprocess.Popen 将其作为 shell 命令执行。这是一个 shell 注入漏洞的典型示例。

在代码上运行 Bandit 将产生以下输出：

            ./example.py:4:0:B603  [blacklist] Use of subprocess.Popen with shell=True is known to be vulnerable to shell injection
	Severity: High   Confidence: High
	Location: ./example.py:4
--------------------------------------------------

            

              
                Copy
              
            
          

Bandit 正确地将使用 subprocess.Popen 和 shell=True 识别为高严重性漏洞。

要修复此漏洞，您应该避免使用 shell=True，而是将命令及其参数作为列表传递给 subprocess.Popen。您还应该清理用户输入，以防止注入恶意命令。

这是代码的更正版本：

            import subprocess
import shlex

def execute_command(command):
    # Sanitize the input using shlex.split to prevent shell injection
    command_list = shlex.split(command)
    subprocess.Popen(command_list)

if __name__ == "__main__":
    user_input = input("Enter a command to execute: ")
    execute_command(user_input)

            

              
                Copy
              
            
          

通过使用 shlex.split 清理用户输入并将命令作为列表传递给 subprocess.Popen，您可以降低 shell 注入攻击的风险。

在更正的代码上运行 Bandit 将不再报告 shell 注入漏洞。

配置 Bandit

可以使用配置文件 (bandit.yaml 或 .bandit) 配置 Bandit 以自定义其行为。您可以使用配置文件来：

• 排除文件或目录： 指定应从扫描中排除的文件或目录。
• 禁用特定测试： 禁用与您的项目无关的测试。
• 调整严重程度级别： 更改特定漏洞的严重程度级别。
• 定义自定义规则： 创建您自己的自定义规则以检测特定于项目的安全问题。

以下是 bandit.yaml 配置文件的示例：

            exclude:
  - 'tests/'
  - 'docs/'

skips:
  - 'B101'

confidence_level:
  MEDIUM:
    - 'B603'

severity_level:
  LOW:
    - 'B105'

            

              
                Copy
              
            
          

此配置文件从扫描中排除 tests/ 和 docs/ 目录，跳过 B101 测试（该测试检查断言语句的使用），将 B603 测试的置信度级别调整为 MEDIUM，并将 B105 测试的严重程度级别调整为 LOW。

将 Bandit 集成到您的 CI/CD 管道中

将 Bandit 集成到您的 CI/CD 管道中是确保 Python 代码安全的关键一步。通过在每次代码更改时自动运行 Bandit，您可以尽早发现安全漏洞，并防止它们进入生产环境。

以下是将 Bandit 集成到 GitLab CI/CD 管道中的示例：

            stages:
  - test

bandit:
  image: python:3.9
  stage: test
  before_script:
    - pip install bandit
  script:
    - bandit -r .
  artifacts:
    reports:
      bandit: bandit.report

            

              
                Copy
              
            
          

此配置定义了一个 bandit 作业，该作业在当前目录上运行 Bandit。该作业使用 Python 3.9 Docker 镜像，并使用 pip 安装 Bandit。 bandit -r . 命令在当前目录中的所有 Python 文件上递归运行 Bandit。 artifacts 部分指定 Bandit 报告应保存为工件，可以下载和查看。

可以为其他 CI/CD 平台创建类似的配置，例如 Jenkins、CircleCI 和 GitHub Actions。

超越 Bandit：综合安全策略

虽然 Bandit 是一个用于识别潜在安全漏洞的宝贵工具，但重要的是要记住，它只是一个综合安全策略的一部分。其他重要的安全实践包括：

• 安全编码实践： 遵循安全编码指南和最佳实践，以最大限度地降低在您的代码中引入漏洞的风险。
• 定期安全审计： 进行定期的安全审计，以识别和解决应用程序中潜在的安全漏洞。
• 渗透测试： 执行渗透测试以模拟现实世界的攻击并识别可能未被 Bandit 等静态分析工具检测到的漏洞。
• 漏洞管理： 实施漏洞管理计划，以跟踪和修复您的软件和基础设施中的漏洞。
• 依赖项管理： 保持您的依赖项是最新的，以修补第三方库中已知的漏洞。像 `pip-audit` 和 `safety` 这样的工具可以帮助解决这个问题。
• 输入验证和清理： 始终验证和清理用户输入，以防止注入攻击和其他与输入相关的漏洞。
• 身份验证和授权： 实施强大的身份验证和授权机制，以保护敏感数据和资源。
• 安全意识培训： 向您的开发人员和其他员工提供安全意识培训，让他们了解常见的安全威胁和最佳实践。

结论

Bandit 是一个用于识别和缓解 Python 代码中安全漏洞的宝贵工具。通过将 Bandit 集成到您的开发工作流程中，您可以提高应用程序的安全性并防范常见的安全威胁。但是，重要的是要记住，Bandit 只是一个综合安全策略的一部分。通过遵循安全编码实践、进行定期的安全审计和实施其他安全措施，您可以创建一个更安全、更有弹性的软件环境。

资源

• Bandit 文档
• OWASP（开放 Web 应用程序安全项目）
• PyPI 上的 Bandit