Python 安全漏洞的扫描与修复

1次阅读

应显式指定官方源、禁用不可信索引、校验哈希、用safety扫描依赖、避免盲目升级、结合ci自动检测并评估实际风险。

Python 安全漏洞的扫描与修复

pip install 时怎么避免下载恶意包

直接用 pip install 不加约束,等于把信任全交给 PyPI 上的包作者。很多漏洞其实不是代码本身有 bug,而是依赖了带后门的“影子包”(比如 requests 拼错成 requesrs)。

实操建议:

立即学习Python免费学习笔记(深入)”;

  • 始终加上 --trusted-host pypi.org--trusted-host files.pythonhosted.org,防止中间人劫持重定向到镜像站投毒
  • pip install --index-url https://pypi.org/simple/ --trusted-host pypi.org 显式指定官方源,绕过本地配置里可能被篡改的 index-url
  • 禁用 --find-links--extra-index-url,除非你完全信任那个第三方源——它们常被用来注入伪造包
  • 检查包签名:运行 pip install --require-hashes -r requirements.txt,前提是 requirements.txt 里每行都带 --hash=sha256:...

如何快速发现项目里用了已知漏洞的依赖

靠人工查 CVE 不现实。真正有效的是在 CI 或本地开发时跑自动扫描,但工具选错或参数不对,结果要么漏报、要么全是误报。

实操建议:

立即学习Python免费学习笔记(深入)”;

  • 优先用 safety:它基于 pyup 的公开数据库,命令简单——safety check -r requirements.txt;注意加 --full-report 看具体触发哪条 CVE
  • 别用 bandit 扫依赖,它是静态分析代码逻辑的,对第三方包无效;bandit 只适合扫你自己写的 .py 文件
  • pip-audit 更严格,会校验包哈希和已知漏洞,但默认只查安装后的环境——想扫未安装的依赖,得先 pip install --dry-run 配合 --report 输出 json 再喂给 pip-audit
  • 扫描结果里看到 CVE-2023-1234,别急着升级;先查这个 CVE 是否真影响你的用法——比如只在 flask 的调试模式下触发,而你生产环境关了 debug,就不用动

修复依赖漏洞时为什么不能无脑 pip install –upgrade

升级看似最直接,但 Python 项目依赖树复杂,一个 pip install --upgrade requests 可能导致 urllib3 版本冲突,或者让 django 因为底层 HTTP 库 API 变更而崩溃。

实操建议:

立即学习Python免费学习笔记(深入)”;

  • 永远用 pip install --upgrade --no-deps 先单独升级目标包,再手动验证是否破坏其他依赖
  • 查清楚漏洞影响范围:运行 pip show requests 看当前版本,再查对应 CVE 的 affected versions 字段——有时只需升到 2.28.2,而不是跳到 2.30.0
  • 如果项目用了 poetrypipenv,别绕过锁文件直接 pip install;该用 poetry update requestspipenv update requests,让工具重新解依赖并写入 poetry.lockPipfile.lock
  • 升级后必做:跑一遍 python -m pytest tests/ -x,尤其关注网络请求、JSON 解析、证书验证相关测试——这些是漏洞高发区

github Actions 里自动扫描依赖漏洞的最小可行配置

本地扫完不等于上线就安全。CI 里漏掉扫描,等于把风险留给部署环节。但配置太重,会拖慢构建;太轻,又容易跳过关键检查。

实操建议:

立即学习Python免费学习笔记(深入)”;

  • 用 GitHub 官方的 dependabot + code scanning 组合:在 .github/workflows/security.yml 里启用 actions/setup-python 后,加一步 pip install safety && safety check -r requirements.txt || exit 1
  • 别在 on: push 下运行完整扫描——改个 README 也触发,浪费资源;改成 on: [pull_request, schedule],且只在 requirements.txtPoetry.lock 变更时才执行
  • 扫描失败要阻断合并:确保 workflow 中这步设置了 if: always() 并且 exit code 非 0 时标记 job 失败,否则 safety 报出中危漏洞也会被忽略
  • 输出结果别只写日志:加 safety check -r requirements.txt --output=json > safety-report.json,再用 github/codeql-action/upload-sarif 推送到 GitHub Security tab,方便团队统一查看

真正的难点不在工具链,而在判断“这个 CVE 对我到底有没有实际风险”。同一行 requests.get() 调用,在内网调用和外网调用,风险等级可能差两个数量级。得结合网络拓扑、输入来源、错误处理方式一起看,不能光盯着 CVE 描述里的“远程代码执行”四个字。

发表于:数据库
近一天内
# bug# django# flask# github# http# https# if# json# pip# pytest# python# require# 数据库
复制链接
AI执行SQL外键操作怎么做_利用AI处理外键约束方法
mysql密码修改备份怎么搞_mysql密码修改前备份与修改后恢复
Go 中正确使用 database/sql 的初始化与连接管理方式
insert values和insert select语法有什么不同_mysql写法区别
text=ZqhQzanResources