用bandit对python代码进行分析

最新推荐文章于 2024-03-26 09:42:59 发布
最新推荐文章于 2024-03-26 09:42:59 发布
阅读量614 收藏 1
点赞数 1
分类专栏: Python 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43031092/article/details/112722445
版权

简介

昨天想着把代码换成流程图,code2flow、pyflowart都不太理想。。。。想着分析代码、代码质量检查啥的,就查了下选了个针对py的bandit

understand

顺带看了下针对c/c++的understand的windows(500M)版本,怎么说呢,没有license。。。。。看了下除了c/c++,还有Ada、Delphi、VHDL、VB、Fortran、python、c#
understand
最右边的图看出来统计了代码量、注释量、空行量,其它没看懂
在这里插入图片描述

bandit

上个月还在更新,好家伙

安装

一句话搞定,会自己安装依赖

$ pip install bandit
Installing collected packages: smmap, pbr, gitdb, stevedore, PyYAML, GitPython, colorama, bandit
Successfully installed GitPython-3.1.12 PyYAML-5.3.1 bandit-1.7.0 colorama-0.4.4 gitdb-4.0.5 pbr-5.5.1 smmap-3.0.4 stevedore-3.3.0

我下载之后看了以下版本1.7.0

$ pip show bandit
Name: bandit
Version: 1.7.0
Summary: Security oriented static analyser for python code.
Home-page: https://bandit.readthedocs.io/en/latest/
Author: PyCQA
Author-email: code-quality@python.org
License: UNKNOWN
Location: d:\program files\python\python39\lib\site-packages
Requires: six, GitPython, stevedore, colorama, PyYAML
Required-by:

查看帮助

bandit -h

开始分析

要分析的代码main.py

# 获取代码之后进入对应路径,节点树使用样例
bandit -r main.py

分析结果

PS D:\Documents\CAU\Lion\repositiries\Python\snake> bandit -r main.py
[main]  INFO    profile include tests: None
[main]  INFO    profile exclude tests: None
[main]  INFO    cli include tests: None    
[main]  INFO    cli exclude tests: None    
[main]  INFO    running on Python 3.9.0    
[node_visitor]  INFO    Unable to find qualified name for module: main.py
Run started:2021-01-16 11:03:25.797124

Test results:
>> Issue: [B311:blacklist] Standard pseudo-random generators are not suitable for security/cryptographic purposes.
   Severity: Low   Confidence: High
   Location: main.py:69
   More Info: https://bandit.readthedocs.io/en/latest/blacklists/blacklist_calls.html#b311-random
68          # 目标坐标
69          TARGET = (int(random.randint(XSTART, XEND) / SIZE),
70                    int(random.randint(YSTART, YEND) / SIZE))

--------------------------------------------------
>> Issue: [B311:blacklist] Standard pseudo-random generators are not suitable for security/cryptographic purposes.
   Severity: Low   Confidence: High
   Location: main.py:70
   More Info: https://bandit.readthedocs.io/en/latest/blacklists/blacklist_calls.html#b311-random
69          TARGET = (int(random.randint(XSTART, XEND) / SIZE),
70                    int(random.randint(YSTART, YEND) / SIZE))
71          while TARGET in POSITION or TARGET in BLOCK1:

--------------------------------------------------
>> Issue: [B311:blacklist] Standard pseudo-random generators are not suitable for security/cryptographic purposes.
   Severity: Low   Confidence: High
   Location: main.py:72
   More Info: https://bandit.readthedocs.io/en/latest/blacklists/blacklist_calls.html#b311-random
71          while TARGET in POSITION or TARGET in BLOCK1:
72              TARGET = (int(random.randint(XSTART, XEND) / SIZE),
73                        int(random.randint(YSTART, YEND) / SIZE))

--------------------------------------------------
>> Issue: [B311:blacklist] Standard pseudo-random generators are not suitable for security/cryptographic purposes.
   Severity: Low   Confidence: High
   Location: main.py:73
   More Info: https://bandit.readthedocs.io/en/latest/blacklists/blacklist_calls.html#b311-random
72              TARGET = (int(random.randint(XSTART, XEND) / SIZE),
73                        int(random.randint(YSTART, YEND) / SIZE))
74          isFail = False

--------------------------------------------------
>> Issue: [B311:blacklist] Standard pseudo-random generators are not suitable for security/cryptographic purposes.
   Severity: Low   Confidence: High
   Location: main.py:211
   More Info: https://bandit.readthedocs.io/en/latest/blacklists/blacklist_calls.html#b311-random
210                         while TARGET in POSITION or TARGET in BLOCK1:  # 生成新目标
211                             TARGET = (int(random.randint(XSTART, XEND) / SIZE),
212                                       int(random.randint(YSTART, YEND) / SIZE))

--------------------------------------------------
>> Issue: [B311:blacklist] Standard pseudo-random generators are not suitable for security/cryptographic purposes.
   Severity: Low   Confidence: High
   Location: main.py:212
   More Info: https://bandit.readthedocs.io/en/latest/blacklists/blacklist_calls.html#b311-random
211                             TARGET = (int(random.randint(XSTART, XEND) / SIZE),
212                                       int(random.randint(YSTART, YEND) / SIZE))
213                         SCORE += 1  # 分数加一

--------------------------------------------------

Code scanned:
        Total lines of code: 259
        Total lines skipped (#nosec): 0

Run metrics:
        Total issues (by severity):
                Undefined: 0.0
                Low: 6.0
                Medium: 0.0
                High: 0.0
        Total issues (by confidence):
                Undefined: 0.0
                Low: 0.0
                Medium: 0.0
                High: 6.0
Files skipped (0):

报告中提出了六个相同的温馨提示Issue: [B311:blacklist] Standard pseudo-random generators are not suitable for security/cryptographic purposes,翻译成中文就是为随机生成不适合加密目的,所幸我不是用来加密,就是用来伪随机而已。

参考

Kearney form An idea
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
flake8-bandit:使用 bandit 和 flake8 进行自动化安全测试
05-31
flake8-bandit 内置于您的工作流程中的自动化安全测试! 您已经使用 flake8 来检查所有错误代码,确保文档字符串格式正确,正确排序导入等等……那么为什么不确保您在编写安全代码时编写安全代码呢? 如果您已经pip install flake8-bandit则只需pip install flake8-bandit 。 配置 要包含或排除测试,请使用标准的.bandit配置文件。 一个有效的.bandit配置文件示例: [bandit] exclude = /frontend,/scripts,/tests,/venv tests: B101 在这种情况下,我们指定忽略许多路径,仅测试B101。 注意: flake8-bugbear使用强盗默认前缀“ B”,因此此插件为安全性将“ B”替换为“ S”。 有关更多信息,请参见 它是如何工作的? 我们使用的包进行所有安全测
Bandit:一款Python代码安全漏洞检测工具
06-15 3104
工具介绍 Bandit这款工具可以用来搜索Python代码中常见的安全问题,在检测过程中,Bandit会对每一份Python代码文件进行处理,并构建AST,然后针对每一个AST节点运行相应的检测插件。完成安全扫描之后,Bandit会直接给用户生成检测报告。 工具安装 Bandit使用PyPI来进行分发,建议广大用户直接使用pip来安装Bandit。 创建虚拟环境(可选): virt...
探索PyFlow:一款强大的Python可视化编程工具
最新发布
gitblog_00009的博客
03-26 348
探索PyFlow:一款强大的Python可视化编程工具 项目地址:https://gitcode.com/David-OConnor/pyflow PyFlow 是一个开放源代码的项目,它为开发者和数据科学家提供了一种直观的、基于图形界面的Python代码执行环境。该项目的核心目标是简化复杂的工作流程,让编写和调试Python代码变得更加直观与高效。 技术分析 PyFlow采用的是Qt 框架进行G...
使用bandit对目标python代码进行安全函数扫描
Dechin的博客
01-27 555
技术背景 在一些对python开源库代码的安全扫描中,我们有可能需要分析库中所使用到的函数是否会对代码的执行环境造成一些非预期的影响。典型的例如python的沙箱逃逸问题,通过一些python的第三方库可以执行系统shell命令,而这就不在python的沙箱防护范围之内了。关于python的沙箱逃逸问题,这里不作展开,这也是困扰业界多年的一个问题,连python官方也提过python的沙箱是没有...
bandit-Python代码审计工具
ALiuTi的博客
06-23 576
bandit
[python]Python代码安全分析工具(Bandit)
weixin_34384915的博客
04-02 842
简介:   Bandit是一款Python源码分析框架,可用于Python代码的安全性分析Bandit使用标准库中的ast模块,将Python源码解析成Python语法节点构成的树。Bandit允许用户编写自定义的测试。测试完成后,Bandit会生成针对源码的安全报告。 官网:   https://wiki.openstack.org/wiki/Security/Projects/Band...
Python代码安全分析工具Bandit.zip
07-18
Bandit 是一款 Python 源码分析框架,可用于 Python 代码的安全性分析Bandit 使用标准库中的 AST 模块,将 Python 源码解析成 Python 语法节点构成的树。Bandit 允许用户编写自定义的测试。测试完成后,Bandit 会...
banditBandit是一种旨在查找Python代码中常见安全问题的工具
02-05
banditBandit是一种旨在查找Python代码中常见安全问题的工具
Bandit是一种旨在查找Python代码中常见安全问题的工具。-Python开发
05-25
来源:https://github.com/PyCQA/bandit错误:https:// github .com / PyCQA / bandit / issues贡献:https://github.com/PyCQA/bandit/blob/master/CONTRIBUTING.md概述Bandit是一种用于查找Python代码中常见安全...
bandit-og:*** 项目移动 - 请参阅自述文件 *** OpenStack 安全组基于 Python AST 的静态分析
06-19
概述Bandit 利用 Python 标准库中的 ast 模块,提供了一个对 Python代码进行分析的框架。 ast 模块用于将源代码转换为 Python 语法节点的解析树。 Bandit 允许用户定义针对这些节点执行的自定义测试。 测试完成后...
OpenStack Bandit项目介绍
Jeremy__Liu的博客
11-05 866
OpenStack Bandit项目介绍
Python-code2flow把你的Python和JavaScript代码转换为流程图
08-10
code2flow:把你的 Python 和 JavaScript 代码转换为流程图
Python-code2vec的TensorFlow实现代码
08-11
code2vec的TensorFlow实现代码
code2flow:把你的 Python 和 JavaScript 代码转换为流程图 -python
06-18
code2flow:把你的 Python 和 JavaScript 代码转换为流程图 2017 年的笔记 这是一个我不再从事的旧项目。 它是在 ES6 出现之前和 Python 3 大量使用之前构建的。 虽然它始终是实验性的,并且可能仍会让您深入了解您的代码,但它会越来越多地显示出老化的迹象。 我也无法添加任何问题、错误或拉取请求。 和任何一个当工程师超过 6 个月的人一样,我对自己年轻时写的代码感到非常尴尬,这也不例外。 标签!?!? 我在想什么??? 域 code2flow.com 与这个项目无关,据我所知,通过互联网档案库,他们在创建这个存储库后启动了他们的服务。 我从来没有听过他们的任何消息,而且他们似乎没有使用这里的任何东西 code2flow 将您的 Python 和 Javascript 源代码转换为 DOT 流程图 Code2flow 将扫描您的项目源代码以查找函数定义。 然后它会再次扫描以查找调用这些函数的位置。 Code2flow 将点点滴滴连接起来,并为您提供一个流程图,估算您的程序的功能结构。 换句话说,code2flow 生成调用图 C
code2flow,一个非常实用的 Python 库!
涛哥聊Python
03-04 1733
code2flow是一个用于代码可视化的Python库,它能够将源代码转换为流程图,展示代码之间的控制流和数据流,帮助开发者更直观地理解代码的结构和逻辑。通过code2flow,开发者可以轻松地生成可视化的代码图,并进行分析和优化。通过本文的介绍,深入探讨了code2flow库的使用方法、功能特性以及如何利用它来进行代码可视化。code2flow作为一个强大的代码可视化工具,提供了丰富的功能和灵活的接口,使得开发者能够更直观地理解和分析代码结构和逻辑,从而优化代码设计和开发过程。
Markdown中永久嵌入bs64图片,python PIL等比列强压缩后将图片转换为bs64,2M直接压成100k
热门推荐
Kearney
06-10 2万+
简介 有的时候自己写技术文档或者笔记的时候发现md语法下的插入图片要么是本地要么是图床 ![img](./lady.jpg) ![img](http......) 本地的缺点是到服务器上加载较慢(gitgub)、或者是发文档给别人的时候忘记发图。。。 图床这种东西嘛、哪天说不定就没了 之前看到过将图片直接内嵌入文档里,当然缺点就是会增大文件体积,但是解决了图片丢失的可能哇 又有人就会说,一个几M的图片转换出来的bs64码比我的文章还长啊(不信你试一下复制下面的bs64看一下多少字符,小新复制的时候死机-.
Python GUI(Tkinter)通过TkDND和TkinterDnD2实现文件拖放
Kearney
10-17 6445
Tkinter是py3自带的库,可以实现GUI,但是要实现拖放就需要TkDND和TkinterDnD2了;在TkinterDnD2的官方上,有说明在使用前要先安装tkDND2
逆向看懂代码-将python转为流程图
Kearney
01-15 3462
有的py代码过于complex,想要看懂思路逻辑也不是辣么简单,所以想把代码做成流程图的形式
用pygame_menu的十行代码给你的pygame添加一个狂拽炫酷炸的游戏菜单
Kearney
01-14 3245
人生苦短,我选pygame_menu,只需要短短几行代码便可以实现按钮、输入、高亮等等Nb的菜单操作
python 代码规范分析工具有哪些
07-27
以下是几种常用的 Python 代码规范分析工具: 1. Pylint:Pylint 是一个功能强大的静态代码分析工具,可以检查代码中的错误、代码风格问题和不一致性。它能够对代码进行全面的检查,并提供详细的反馈和建议。 2. Flake8:Flake8 是一个组合了多个工具的代码规范检查器,包括 PyFlakes、pycodestyle(原名为pep8)和 McCabe。它可以检查代码中的错误、风格问题、未使用变量、死代码等。 3. Black:Black 是一个自动化的代码格式化工具,旨在统一整个项目的代码风格。它会根据预定义的规则格式化代码,消除开发者之间的个人偏好差异,使代码保持一致性。 4. PyCodeStyle(原名为pep8):PyCodeStyle 是一个用于检查和应用 PEP 8 代码风格指南的工具。它可以帮助开发者遵循 PEP 8 的规范,提高代码的可读性和可维护性。 5. BanditBandit 是一个专门用于检查 Python 代码中安全漏洞的工具。它可以扫描代码,识别潜在的安全风险,并提供相应的建议和解决方案。 这些工具可以帮助开发者自动分析和检查代码的规范性,并提供错误修复和优化建议。使用这些工具可以提高代码质量、可读性和可维护性,同时节省开发者的时间和精力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值