Согласно последним исследованиям компании Spectrum, в этом году Python занял первое место среди языков программирования.
Код ядра python безопасен, но сторонние модули, способ разработки приложения могут быть небезопасны, поэтому вам нужен сканер безопасности, чтобы найти уязвимости, если таковые имеются. Существует множество комплексных онлайн-сканеров безопасности для проверки на онлайн-угрозы, но они могут быть не в состоянии обнаружить слабые места, специфичные для конкретной платформы, например Python, Node.js и т.д. Давайте рассмотрим следующий сканер для поиска угроз безопасности в приложении Python.
PYT (Python Taint)
Инструмент статического анализа с открытым исходным кодом для обнаружения командных инъекций, межсайтового скриптинга, SQL-инъекций, атак на трансверсаль директорий в веб-приложениях на Python. PYT основан на теоретической базе, и если вы хотите внести свой вклад, то вы можете присоединиться к их группе в slack.
Bandit
Bandit – это инициатива Open Stack по поиску общих рисков безопасности в коде на python. Он обрабатывает каждый файл для построения AST и генерирует отчет. Вы можете установить его с помощью pip. Использование Bandit может быть настроено. Например, по умолчанию проверка проводится на все профили, однако если вы хотите проверить только ShellInjection, вы можете попробовать следующее.
bandit samples/*.py -p ShellInjectionВы также можете указать, чтобы отчет был основан на уровне серьезности (низкий, средний или высокий).
Pyntch
Pyntch поддерживает только Python 2.x, это статический анализатор кода для обнаружения возможных ошибок во время выполнения. Это не совсем точный поиск риска, но будет полезно увидеть исключения во время выполнения, которые иногда могут привести к утечке конфиденциальной информации. Он быстр и способен сканировать тысячи строк за минуту.
Spaghetti
Сканер с открытым исходным кодом на базе python для поиска неправильной конфигурации, небезопасных файлов и поддержки таких веб-фреймворков, как CherryPy, CakePHP и др.
Spaghetti способен обнаруживать различные атаки, включая следующие:
- Грубая сила
- Раскрытие данных кредитных карт, электронной почты, IP
- HTML/SQL/LDAP/XPATH/XSS инъекции
- ShellShock, Crime, Struts-shock
- Анонимный шифр
RATS (инструменты грубого аудита для безопасности)
RATS выполняет грубый анализ кода на Python, PHP, Perl, C++ и выделяет ошибки, связанные с безопасностью, как показано ниже.
- Время проверки
- Время использования
- Переполнения буфера
Acunetix
Комплексная платформа сканирования уязвимостей для проверки сетевых и веб-приложений. Acunetix проверяет ваш сайт на более чем 5000 уязвимостей и предоставляет подробный отчет с рекомендациями по устранению.
Если ваше веб-приложение на языке Python подвержено воздействию Интернета и нуждается в глубоком анализе безопасности, попробуйте использовать Acunetix.
Requires
Это не сканер, но Requires отслеживает безопасность зависимостей Python и уведомляет вас, когда обнаруживает устаревшие или уязвимые компоненты.
Вы можете настроить получение уведомлений путем добавления значков, по электронной почте или через GitHub pull.
Safety
Проверка зависимостей python, Safety может сканировать локальное виртуальное окружение, файл требований, входные данные stdin на наличие проблем безопасности.
PyUp
Обеспечьте актуальность, совместимость и безопасность вашего приложения Python с помощью Python Dependency Security от PyUp. Она поможет вам защитить ваш код от тысяч уязвимостей в зависимостях Python, которые могут нарушить ваш код Python.
Вместо того чтобы тратить свое время на ручное обновление и отслеживание каждой зависимости, вы можете использовать PyUp для автоматизации задач. Он автоматически исправляет новые уязвимости и позволяет вам держаться подальше от известных уязвимостей, чтобы повысить уверенность в своем коде. Кроме того, PyUp поддерживает базу данных уязвимостей, и на сегодняшний день в ней зарегистрировано 393 800 зависимостей Python. Его сканеры созданы для решения сложных задач и сканирования ваших файлов на предмет устаревших и небезопасных требований.
Эти сканеры также хорошо настраиваются в соответствии с вашими потребностями, а их защитный CI отлавливает уязвимости до того, как код попадает в производство. Интегрируйте инструменты командной строки в свои рабочие процессы CI. Получите неограниченное количество публичных и частных репозиториев за 99 долларов США в месяц и получите лицензии на зависимость, CVSS, API-ключ и безопасный CI. Вы также можете взять 7-дневную бесплатную пробную версию выбранного вами плана.
Заключение
Надеюсь, перечисленные выше инструменты помогут вам найти риск безопасности в приложении Python.
