Python 漏洞管理平台的集成

应使用 pip-audit 或 safety 的标准结构化输出（如 –format=json、–format=sarif）对接管理平台，避免终端日志或含 ansi 码的 json；通过 pip-compile 锁定依赖、分离 dev/production 文件、离线数据库及代理配置解决 ci 中扫描不稳定、网络失败和误报问题。

怎么把 python 项目漏洞扫描结果喂给管理平台

核心是别自己造轮子——直接用 pip-audit 或 safety 的标准输出，配合平台支持的格式（通常是 JSON 或 SARIF）做桥接。多数漏洞管理平台（如 DefectDojo、Snyk API、JFrog Xray）不认原始终端日志，必须结构化。

常见错误现象：pip-audit -r requirements.txt 直接丢进平台报解析失败；safety check -r reqs.txt --json 输出里含 ANSI 颜色码导致 JSON 解析中断。

• 用 pip-audit --format=json（v2.5+），不是 --json —— 旧参数名已废弃
• safety check -r reqs.txt --json --no-color 必须加 --no-color，否则字段里混入 x1b[31m 这类控制字符
• 如果平台只收 SARIF，用 pip-audit --format=sarif（需 pip-audit ≥ 2.6.0），别试图用 jq 手动转——字段语义和版本兼容性容易错

requirements.txt 动态生成导致扫描结果漂移

扫描结果不稳定，不是工具问题，大概率是依赖声明本身在变：比如用了 django>=4.2 这种宽松约束，CI 每次拉的 Django 小版本不同，漏洞条目就跳来跳去。

使用场景：CI 流水线每小时跑一次扫描，但漏洞数量忽高忽低，运营侧无法判断是否真修复了问题。

立即学习“Python免费学习笔记（深入）”；

• 扫描前先固化依赖：pip-compile requirements.in --output-file=requirements.txt --upgrade，确保每次扫描基于同一份锁文件
• 别在 requirements.txt 里留 -e git+https://... 这类可变源——扫描器会尝试解析，但多数平台不支持动态 Git commit 映射到 CVE
• 如果必须支持可变依赖（如内部包），在调用扫描命令时加 --skip-editable（pip-audit 支持），避免因路径不可达导致整个扫描中断

CI 中权限不足导致 pip-audit 失败

pip-audit 默认会联网查 PyPI 和 github Advisory database，CI 环境若禁外网或走代理，就会卡住或报 HTTPConnectionPool 错误，而不是明确提示网络问题。

错误信息典型表现：Failed to fetch advisory database: HTTPSConnectionPool(host='api.github.com', port=443): Max retries exceeded

• 提前下载离线数据库：pip-audit --download-db 生成 pyproject-audit.db，CI 中用 --db-path=./pyproject-audit.db 指向它
• 若用企业私有 PyPI（如 Nexus），设置 PIP_INDEX_URL 环境变量，但注意 pip-audit 不读这个——得用 --index-url https://your-nexus/simple/ 显式传
• 代理配置要同时设 HTTPS_PROXY 和 NO_PROXY，漏掉 NO_PROXY=localhost,127.0.0.1 可能导致本地 DB 路径也被代理转发而超时

扫描结果里大量误报（如 dev-only 包被标高危）

像 pytest、mypy 这类只在开发期用的包，出现在生产环境漏洞报表里，既干扰判断，又可能触发误告警。根本原因是没区分运行时依赖和开发依赖。

性能影响：强行扫描所有包会多耗 3–5 秒（尤其带大量 extras 的项目），且增加平台存储冗余。

• 拆分依赖文件：requirements.txt（运行时）和 requirements-dev.txt（开发时），只对前者执行 pip-audit
• 用 pip-audit --require-hashes 可跳过无哈希声明的包（通常就是未锁定的 dev 包），但前提是你的 requirements.txt 本身有 hash 行
• 如果项目用 pyproject.toml + poetry，别用 poetry export -f requirements.txt 导出全量——加 --without-hashes --without-dev 参数过滤掉开发依赖

真正难的是依赖关系链里的间接包：比如你没装 urllib3，但 requests 带进来一个旧版，它是否算“生产影响”得看调用路径。这时候不能只信扫描结果，得结合 pipdeptree --reverse --packages urllib3 确认上游是否真在运行时加载。