2018开源静态分析工具-第一部分-python

最新推荐文章于 2023-12-21 14:05:56 发布
最新推荐文章于 2023-12-21 14:05:56 发布
阅读量2k 收藏 1
点赞数
分类专栏: 外文翻译

翻译自:https://medium.com/@prasincs/open-source-static-analysis-for-security-in-2018-part-1-python-348e9c1af1cd
翻译:聂心明
我对静态分析工具的态度是即爱也恨。我喜欢他们,我使用他们并且在他们运行停止之前,我都无法交付产品。并且我讨厌他们,因为我目前对“安全和合规”的工作定义的相当广泛,偶尔,我会有一些关于安全代码和静态/动态代码审计中的一些问题。我决定选几种语言去看看开源社区的观点。很明显,这个不能代替严格的安全扫描,集成测试和渗透测试等在软件开发周期中不同的方面的测试。

这篇文章包含4种编程语言,这四种语言在我们公司中非常重要,但这并不意味着我们不用其他的语言。但这至少可以让我们对这些语言有一个很好的了解。我发现静态扫描有一点收敛。虽然类型检查正在复兴,但我们还需要一段时间才能让静态代码审计变得更加强大。
下面的语言我都会讲到,这篇文章我先讲python

  • python
  • java
  • go
  • JavaScript

目标不是那么完全,但是却很实用

精确度:这个工具会有很多误报吗?以至于工程师最好的办法就是禁用它。
实践性:这个工具会给我很多可实践的建议和例子吗?
集成性:我能和我现有的工具搭配使用吗?
可维护性:我不知道未来会发生什么,但是这个工具的可维护性怎么样?或者它是否有足够好的文档,以至于可以让我自己可以维护它?

资源:
这里有一份资源列表,里面包含了更多语言的静态分析工具:
https://github.com/mre/awesome-static-analysis

python

从静态分析的角度来看,python是一个有趣的语言,它有AST包,但是很多代码可以在运行时被改变。围绕“pythonic”化的想法是存在的并且频繁的代码检查可能会发现一些问题,但是能在早期发现一些问题是极好的。

  1. 检查你的requirements.txt

在2018年,几乎所有的python代码被运行和部署在虚拟环境中。这意味着,上游的依赖全部被记录在requirements.txt中。如果你没有这样做,请停下来,然后按照下面的说明去安装和使用虚拟环境。
http://docs.python-guide.org/en/latest/dev/virtualenvs/

我们使用safety( https://github.com/pyupio/safety )去检查我们的requirements.txt,到目前为止,他已经发现了很多有漏洞的上游库。只要可能,我们尽可能要使用最新版本的包。但是我不推荐这种方法。这虽然增加了很多痛苦,但是也避免了大量麻烦。无论何时,我需要分离上游包,我需要很快知道上游包的关系和我能做东西。
精确性:你能信任 https://github.com/pyupio/safety-db
实践性:这是伟大的,通常只要PyPi包升级是可用的,我们就能升级。
集成性:文件可以被方便的导入并且我们仅仅在我们的项目中运行一些的指令就可以了,只要发现有漏洞的包,它都会让项目的创建停止,并且报告错误。这也给工程师提供下一步的建议,并且可以不用去解析json。

safety check -r $TOPDIR/requirements.txt --full-report --json > $TOPDIR/safety-report.json
if [[ $open_vulnerabilities -gt 0 ]]; then
   echo "$open_vulnerabilities open known vulnerabilities exist in packages, failing build"
   safety check -r $TOPDIR/requirements.txt --full-report
   exit 1
fi

可维护性:如果safety-db可行的话,我不知道为什么有些人或者有些组织不想拥有它。而且,为啥PyPI不做这个事情。

2.检查你的代码

所以上游的任何代码都没已知的漏洞,很好。现在让我在我的代码上运行bandit( https://github.com/openstack/bandit )。这个工具可以解析你的python代码并且允许你去选择要检查的错误类型。如果有一些误报,你可以用#nosec忽略这块代码。

准确性:我发现在我测试的代码中都是相对准确的。
实践性:这给要特别注意,无论怎样,工具提供多种方式去导出成不同的格式并且可以用-lll提高严格性,并且可以用-iii提高可信度。所以你如果想看最严格的情况和最可信的情况,你可以运行

bandit -lll -iii -r dir

集成性:你可以使用-f这个标志把结果导出成csv,html,json,screen,txt或者xml。如果你想去分类,解说,或者导入JIRA中,这个功能都是非常有用的。
可维护性:这看上去对我非常友好,这个项目被Openstack 管理并且它支持在自己的AST中做hook。所以我能看到更多新的应用场景。
明天,我将讨论关于Java代码静态分析工具的古往今来。

niexinming
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
针对Python的代码静态分析工具PySonar.zip
07-19
PySonar2 是王垠开发的,针对 Python 的代码静态分析工具,现在这项技术被著名的代码搜索引擎 Sourcegraph 使用,这是 PySonar 的第二个版本,第一个版本的使用者是 Google 内部,作为 Python 上百万行高质量语义...
python静态分析工具_7 个顶级静态代码分析工具
weixin_35801512的博客
12-23 2541
作者丨 Saif Sadiq策划丨田晓旭静态代码分析或源代码分析是指使用静态代码分析工具对软件的 " 静态 " ( 不运行的 ) 代码进行分析的一种方法,找出代码中潜在的漏洞。静态代码分析器检查源代码,找出特定的漏洞,并检查代码是否符合各种编码标准。1 为什么要进行静态代码分析?在执行代码之前获取代码洞见;与动态分析相比,执行速度更快;可以对代码质量维护进行自动化;在早期阶段 ( 尽管不是所有阶段...
Python】如何做代码静态分析
不出意外,是个啥也不会的博主(#^.^#)
10-24 1742
文章目录静态分析简介什么是静态分析?为什么要进行静态代码检查?Bug 引入Bug 发现Bug 修复成本测试左移静态分析特点常用的静态分析技术 静态分析简介 - 中文名:程序静态分析 - 外文名:Program Static Analysis - 目的:规范编码规则、提升代码质量 - 特点:不实际执行程序 什么是静态分析静态分析是指不运行代码的情况下,通过***词法分析***、语法分析、控制流分析、**数据流分析等技术对代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码...
python静态的代码分析_静态分析工具,用于检测和预防Python代码中的安全性问题
weixin_26746861的博客
08-25 547
python静态的代码分析分析工具 (TOOLS TO ANALYZE) “Pysa” is an open-source static analysis tool built by Facebook. It has been built to detect and prevent security and privacy issues in the python code. Pysa is...
python 静态分析_Python 静态分析Pylint、Pyflakes 与 Mypy ——我应该用谁?
weixin_28818559的博客
02-03 220
Python 静态分析Pylint、Pyflakes 与 Mypy ——我应该用谁?摄影:产品经理黄金炒饭配麻婆豆腐说到 Python静态分析工具,就不得不说Pylint、Pyflakes 和 Mypy。他们的作用有重叠的地方,但又有各自的侧重点。在某些时候你可以只选择其中一个来用,有时候你又需要把他们结合起来使用。Pylint:让你的代码符合 PEP-8风格PEP-8[1]是 Python ...
Python代码静态分析工具推荐与使用
最新发布
qq_41314882的博客
12-21 1757
在大型的Python项目中,保持代码的质量和可维护性是至关重要的。为了达到这个目标,使用静态分析工具是一种有效的手段。本文将深入介绍几款常用的Python代码静态分析工具,包括它们的功能特性、优缺点分析以及安装和详细使用示例。
StaticTimingAnalyzer:用Python实现的逻辑电路静态时序分析器(2018
02-18
静态时序分析器用Python实现的逻辑电路静态时序分析器 :electric_plug: :high_voltage: (2018) 该分析器实现了几个部分,并输出HTML files 。 它在从Verilog & C创建的自定义设计获得的门级网表上起作用。 使用...
PEpper:一个开源脚本,用于在Portable Executable上执行恶意软件静态分析
05-05
一个开源工具第2-11页的ortableËxecutable执行恶意软件静态分析 安装 eva@paradise:~ $ git clone https://github.com/blackeko/PEpper/ eva@paradise:~ $ cd PEpper eva@paradise:~ $ pip3 install -r ...
MobSFAndroid静态分析使用心得
02-24
此前也接触过一些第三方静态分析工具,因为工作原因接触了一款开源移动App安全框架MobileSecurityFramework,经过一番折腾后决定写下一篇博文记录一下心得。本文是基于Windows搭建的AndroidApp静态分析环境,首先是...
matlab做敏感性分析代码-HILAB-HBV:这是UNESCO-IHE统一HBV96版本的第一个版本
06-02
模型版本的第一个版本。 该代码是在 UNESCO-IHE 的水文信息学实验室的保护下开发的。 目前该模型在 Matlab、Python 和 Cython 中实现。 预计在不久的将来会以其他语言实现。 Matlab 文件夹包含模型例程 降水模块 雪...
静态分析工具大集合
03-28
此文档中主要是介绍了各种静态代码分析工具,可供选择。
Python代码扫描:轻量级Python静态代码分析工具pyflakes
SteveRocket's-Blog
09-15 732
在现代软件开发中,代码质量是一个至关重要的因素。好的代码质量可以提高代码的可读性、可维护性和可测试性,从而减少潜在的问题和错误。为了确保代码质量,静态代码分析工具成为了我们们的必备利器。在Python领域,pyflakes是一个受欢迎的轻量级静态代码分析工具。本篇文章我将介绍pyflakes的特点、使用方法和应用场景。
静态代码分析工具简介
star的博客
09-25 4802
静态代码分析工具简介 什么是静态代码分析 静态代码分析是指无需运行被测代码,仅通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性,找出代码隐藏的错误和缺陷,如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。 在软件开发过程中,静态代码分析往往先于动态测试之前进行,同时也可以作为制定动态测试用例的参考。统计证明,在整个软件开发生命周期中,30% 至 70%...
Python百宝箱】代码审查得力助手:静态分析工具带你发现Python代码中的隐藏问题
记录我的学习历程
12-18 1132
本文提供了有关常用Python静态分析工具的详细介绍和完整示例代码。首先,我们介绍了flake8,它可以检查代码中的语法错误、格式问题和编码规范违例。然后,我们介绍了black,一个自动调整代码格式的工具,使代码风格一致且易读。接下来,我们介绍了pylint,用于检查代码中的语法错误、命名规范、编码实践和代码复杂度等问题。之后,我们介绍了mypy,一个专门用于检查Python 3代码中类型错误的静态类型检查器。然后,我们介绍了isort,用于排序和组织Python代码中导入语句的工具
python静态的代码分析_Python静态代码分析
weixin_26752759的博客
09-16 1568
python静态的代码分析翻译自: https://towardsdatascience.com/static-code-analysis-for-python-bdce10b8d287python静态的代码分析
clang静态分析
weixin_43124861的博客
11-02 2006
补充:centos7.8安装llvm7 https://www.liangzl.com/get-article-detail-20723.html clang 中文: https://www.bookstack.cn/read/clang-llvm/clang-user-manual.md#MinGW-w64 1.静态分析 程序分析分为动态分析静态分析两种,其中静态分析是指不实际运行程序而通过词...
python 静态分析_PyChecker:Python代码静态分析工具
weixin_39539563的博客
12-03 473
1 概述PyChecker是Python代码的静态分析工具,它能够帮助查找Python代码的bug,而且能够对代码的复杂度和格式等提出警告。PyChecker可以工作在多种方式之下。首先,PyChecker会导入所检查文件中包含的模块,检查导入是否正确,同时检查文件中的函数、类和方法等。推荐阅读:Ubuntu 14.04安装Python 3.3.5PyChecker可以检查出来的问题有如下几种:全...
python静态代码分析工具——pylint
知行天下
08-16 1772
1·下载地址: http://www.logilab.org/project/pylint 2·安装: pylint-0.22.0.tar.gz 解压,然后python setup.py install 安装过程会自动下载并安装 logilab-astng-0.21.0.tar.gz  logilab-common-0.53.0.tar.gz 这两个工具。 3·使用语法:
用bandit对python代码进行分析
Kearney
01-16 606
简介 昨天想着把代码换成流程图,code2flow、pyflowart都不太理想。。。。想着分析代码、代码质量检查啥的,就查了下选了个针对py的bandit bandit 上个月还在更新,好家伙 安装 一句话搞定,会自己安装依赖 $ pip install bandit Installing collected packages: smmap, pbr, gitdb, stevedore, PyYAML, GitPython, colorama, bandit Successfully installed
python-devel-2.7.5-89.el7.x86_64.rpm
09-24
Python-devel软件包是Python编程语言的开发环境,它提供了开发Python应用程序所需的头文件、静态库和其他开发工具。 该软件包的版本号为2.7.5,这表示它是Python 2.7系列的第五个小版本。Python 2.7是许多用户仍在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值