Python 依赖安全检查 —— 自动扫描项目依赖中的已知漏洞涵盖 safety、pip-audit、Dependabot 模拟和漏洞数据库查询# 安装依赖pip install safety pip-audit# 依赖安全是软件供应链安全的重要环节需定期检查第三方包中的已知漏洞import subprocessimport jsonimport osimport sysimport tempfileimport refrom typing import List, Dict, Optional, Tuplefrom dataclasses import dataclass, field, asdictfrom datetime import datetime# 第一部分数据结构 dataclassclass Vulnerability:漏洞信息的数据结构package_name: strinstalled_version: strvulnerable_versions: stradvisory: str # 漏洞描述cve_id: str # CVE 编号如 CVE-2024-XXXXseverity: str # 严重级别CRITICAL/HIGH/MEDIUM/LOWfixed_version: str # 修复版本more_info_url: str # 更多信息链接def __str__(self) - str:return f[{self.severity}] {self.cve_id}: {self.package_name} \f{self.installed_version} - {self.fixed_version}dataclassclass ScanResult:扫描结果vulnerabilities: List[Vulnerability] field(default_factorylist)scanned_packages: int 0scan_time: str is_clean: bool Truedef summary(self) - str:生成扫描结果摘要critical sum(1 for v in self.vulnerabilities if v.severity CRITICAL)high sum(1 for v in self.vulnerabilities if v.severity HIGH)medium sum(1 for v in self.vulnerabilities if v.severity MEDIUM)if self.is_clean:return f安全扫描了 {self.scanned_packages} 个包未发现已知漏洞return f发现 {len(self.vulnerabilities)} 个漏洞 \f严重{critical}高{high}中{medium}# 第二部分Safety 集成 class SafetyScanner:使用 safety 库扫描 Python 依赖中的已知漏洞。safety 使用 pyup.io 的漏洞数据库免费版有延迟商业版实时更新。staticmethoddef scan_requirements(requirements_file: str) - ScanResult:扫描 requirements.txt 文件中的依赖。result ScanResult(scan_timedatetime.now().isoformat())if not os.path.exists(requirements_file):print(f文件不存在{requirements_file})return resulttry:# 调用 safety check 命令cmd [sys.executable, -m, safety, check,-r, requirements_file,--json, # JSON 格式输出--full-report # 完整报告]output subprocess.check_output(cmd, stderrsubprocess.STDOUT, timeout60).decode()# 解析 safety 输出result SafetyScanner._parse_safety_output(output)result.scan_time datetime.now().isoformat()return resultexcept subprocess.TimeoutExpired:print(Safety 扫描超时)except FileNotFoundError:print(Safety 未安装请运行pip install safety)except subprocess.CalledProcessError as e:# safety 在发现漏洞时返回非零退出码if e.returncode 255:print(Safety 内部错误)else:return SafetyScanner._parse_safety_output(e.output.decode())except Exception as e:print(fSafety 扫描异常{e})return resultstaticmethoddef _parse_safety_output(output: str) - ScanResult:解析 safety 的 JSON 输出为 ScanResult。result ScanResult(scan_timedatetime.now().isoformat())try:data json.loads(output)for vuln in data.get(vulnerabilities, []):vulnerability Vulnerability(package_namevuln.get(package_name, unknown),installed_versionvuln.get(installed_version, ),vulnerable_versionsvuln.get(vulnerable_spec, ),advisoryvuln.get(advisory, ),cve_idvuln.get(cve, N/A),severityvuln.get(severity, UNKNOWN),fixed_versionvuln.get(fixed_version, ),more_info_urlvuln.get(more_info_url, ))result.vulnerabilities.append(vulnerability)result.scanned_packages data.get(scanned_packages, 0)result.is_clean len(result.vulnerabilities) 0except json.JSONDecodeError:print(解析 safety 输出失败)return result# 第三部分pip-audit 集成 class PipAuditScanner:使用 pip-audit 扫描依赖漏洞。pip-audit 是 PyPA 官方推荐的依赖安全检查工具使用 PyPI 的 JSON API 获取漏洞信息。staticmethoddef scan_project(project_dir: str .) - ScanResult:扫描项目的所有依赖。result ScanResult(scan_timedatetime.now().isoformat())try:cmd [sys.executable, -m, pip_audit,--project-dir, project_dir,--format, json,--desc, # 包含漏洞描述]output subprocess.check_output(cmd, stderrsubprocess.STDOUT, timeout120).decode()result PipAuditScanner._parse_output(output)return resultexcept subprocess.TimeoutExpired:print(pip-audit 扫描超时)except FileNotFoundError:print(pip-audit 未安装请运行pip install pip-audit)except subprocess.CalledProcessError as e:return PipAuditScanner._parse_output(e.output.decode())except Exception as e:print(fpip-audit 扫描异常{e})return resultstaticmethoddef scan_package_list(packages: List[str]) - ScanResult:扫描指定的包列表。# 创建一个临时文件包含包列表with tempfile.NamedTemporaryFile(modew, suffix.txt,deleteFalse) as f:f.write(\n.join(packages))tmp_file f.nametry:cmd [sys.executable, -m, pip_audit,-r, tmp_file,--format, json]output subprocess.check_output(cmd, stderrsubprocess.STDOUT, timeout60).decode()return PipAuditScanner._parse_output(output)finally:os.unlink(tmp_file)staticmethoddef _parse_output(output: str) - ScanResult:解析 pip-audit 的 JSON 输出。result ScanResult(scan_timedatetime.now().isoformat())try:data json.loads(output)for pkg in data.get(dependencies, []):vulns pkg.get(vulns, [])for vuln in vulns:vulnerability Vulnerability(package_namepkg.get(name, unknown),installed_versionpkg.get(version, ),vulnerable_versionsvuln.get(vulnerable_versions, ),advisoryvuln.get(description, ),cve_idvuln.get(id, N/A),severityvuln.get(severity, UNKNOWN),fixed_versionvuln.get(fixed_version, ),more_info_urlvuln.get(url, ))result.vulnerabilities.append(vulnerability)result.scanned_packages 1result.is_clean len(result.vulnerabilities) 0except json.JSONDecodeError:print(解析 pip-audit 输出失败)return result# 第四部分Dependabot 模拟 class DependabotSimulator:模拟 GitHub Dependabot 的核心功能1. 解析依赖文件2. 检查版本兼容性3. 生成更新建议staticmethoddef analyze_dependency_file(filepath: str) - Dict:分析依赖文件生成类似 Dependabot 的报告。if not os.path.exists(filepath):return {error: f文件不存在{filepath}}with open(filepath, r) as f:content f.read()# 解析依赖dependencies []for line in content.split(\n):line line.strip()if line and not line.startswith(#):# 处理 、、 等版本约束match re.match(r([\w\-_])\s*([!~])\s*([\w.]), line)if match:dependencies.append({name: match.group(1),operator: match.group(2),version: match.group(3)})return {file: filepath,dependency_count: len(dependencies),dependencies: dependencies,analysis_time: datetime.now().isoformat(),recommendations: DependabotSimulator._generate_recommendations(dependencies)}staticmethoddef _generate_recommendations(deps: List[Dict]) - List[Dict]:生成依赖更新建议。recommendations []for dep in deps:# 检查是否使用了精确版本固定建议使用范围约束if dep.get(operator) :recommendations.append({package: dep[name],current: f{dep[operator]}{dep[version]},suggestion: f{dep[version]},{int(dep[version].split(.)[0]) 1}.0.0,reason: 建议使用范围约束以接收补丁更新})return recommendations# 第五部分综合演示 def demo_dependency_audit():演示依赖安全检查的完整流程。print( 依赖安全检查演示 \n)# 创建示例 requirements 文件req_content # 项目依赖flask2.2.3requests2.28.1django3.2.18cryptography38.0.3pyyaml5.4req_file demo_requirements.txtwith open(req_file, w) as f:f.write(req_content)# 使用 Dependabot 模拟器分析print(--- Dependabot 依赖分析 ---)analysis DependabotSimulator.analyze_dependency_file(req_file)print(f发现 {analysis[dependency_count]} 个依赖)for rec in analysis.get(recommendations, []):print(f 建议{rec[package]} {rec[current]} - {rec[suggestion]})# 扫描结果汇总print(\n--- 安全建议 ---)print(定期执行依赖安全检查的最佳实践1. 每次 CI/CD 构建时自动扫描2. 使用 pip-audit 作为主要的漏洞检测工具3. 启用 GitHub Dependabot 自动创建更新 PR4. 订阅安全公告邮件列表如 oss-security5. 及时更新受影响的依赖包6. 使用锁定文件requirements.txt 或 Pipfile.lock)# 清理临时文件if os.path.exists(req_file):os.unlink(req_file)if __name__ __main__:demo_dependency_audit()
Python依赖安全检查
发布时间:2026/6/21 9:14:09
Python 依赖安全检查 —— 自动扫描项目依赖中的已知漏洞涵盖 safety、pip-audit、Dependabot 模拟和漏洞数据库查询# 安装依赖pip install safety pip-audit# 依赖安全是软件供应链安全的重要环节需定期检查第三方包中的已知漏洞import subprocessimport jsonimport osimport sysimport tempfileimport refrom typing import List, Dict, Optional, Tuplefrom dataclasses import dataclass, field, asdictfrom datetime import datetime# 第一部分数据结构 dataclassclass Vulnerability:漏洞信息的数据结构package_name: strinstalled_version: strvulnerable_versions: stradvisory: str # 漏洞描述cve_id: str # CVE 编号如 CVE-2024-XXXXseverity: str # 严重级别CRITICAL/HIGH/MEDIUM/LOWfixed_version: str # 修复版本more_info_url: str # 更多信息链接def __str__(self) - str:return f[{self.severity}] {self.cve_id}: {self.package_name} \f{self.installed_version} - {self.fixed_version}dataclassclass ScanResult:扫描结果vulnerabilities: List[Vulnerability] field(default_factorylist)scanned_packages: int 0scan_time: str is_clean: bool Truedef summary(self) - str:生成扫描结果摘要critical sum(1 for v in self.vulnerabilities if v.severity CRITICAL)high sum(1 for v in self.vulnerabilities if v.severity HIGH)medium sum(1 for v in self.vulnerabilities if v.severity MEDIUM)if self.is_clean:return f安全扫描了 {self.scanned_packages} 个包未发现已知漏洞return f发现 {len(self.vulnerabilities)} 个漏洞 \f严重{critical}高{high}中{medium}# 第二部分Safety 集成 class SafetyScanner:使用 safety 库扫描 Python 依赖中的已知漏洞。safety 使用 pyup.io 的漏洞数据库免费版有延迟商业版实时更新。staticmethoddef scan_requirements(requirements_file: str) - ScanResult:扫描 requirements.txt 文件中的依赖。result ScanResult(scan_timedatetime.now().isoformat())if not os.path.exists(requirements_file):print(f文件不存在{requirements_file})return resulttry:# 调用 safety check 命令cmd [sys.executable, -m, safety, check,-r, requirements_file,--json, # JSON 格式输出--full-report # 完整报告]output subprocess.check_output(cmd, stderrsubprocess.STDOUT, timeout60).decode()# 解析 safety 输出result SafetyScanner._parse_safety_output(output)result.scan_time datetime.now().isoformat()return resultexcept subprocess.TimeoutExpired:print(Safety 扫描超时)except FileNotFoundError:print(Safety 未安装请运行pip install safety)except subprocess.CalledProcessError as e:# safety 在发现漏洞时返回非零退出码if e.returncode 255:print(Safety 内部错误)else:return SafetyScanner._parse_safety_output(e.output.decode())except Exception as e:print(fSafety 扫描异常{e})return resultstaticmethoddef _parse_safety_output(output: str) - ScanResult:解析 safety 的 JSON 输出为 ScanResult。result ScanResult(scan_timedatetime.now().isoformat())try:data json.loads(output)for vuln in data.get(vulnerabilities, []):vulnerability Vulnerability(package_namevuln.get(package_name, unknown),installed_versionvuln.get(installed_version, ),vulnerable_versionsvuln.get(vulnerable_spec, ),advisoryvuln.get(advisory, ),cve_idvuln.get(cve, N/A),severityvuln.get(severity, UNKNOWN),fixed_versionvuln.get(fixed_version, ),more_info_urlvuln.get(more_info_url, ))result.vulnerabilities.append(vulnerability)result.scanned_packages data.get(scanned_packages, 0)result.is_clean len(result.vulnerabilities) 0except json.JSONDecodeError:print(解析 safety 输出失败)return result# 第三部分pip-audit 集成 class PipAuditScanner:使用 pip-audit 扫描依赖漏洞。pip-audit 是 PyPA 官方推荐的依赖安全检查工具使用 PyPI 的 JSON API 获取漏洞信息。staticmethoddef scan_project(project_dir: str .) - ScanResult:扫描项目的所有依赖。result ScanResult(scan_timedatetime.now().isoformat())try:cmd [sys.executable, -m, pip_audit,--project-dir, project_dir,--format, json,--desc, # 包含漏洞描述]output subprocess.check_output(cmd, stderrsubprocess.STDOUT, timeout120).decode()result PipAuditScanner._parse_output(output)return resultexcept subprocess.TimeoutExpired:print(pip-audit 扫描超时)except FileNotFoundError:print(pip-audit 未安装请运行pip install pip-audit)except subprocess.CalledProcessError as e:return PipAuditScanner._parse_output(e.output.decode())except Exception as e:print(fpip-audit 扫描异常{e})return resultstaticmethoddef scan_package_list(packages: List[str]) - ScanResult:扫描指定的包列表。# 创建一个临时文件包含包列表with tempfile.NamedTemporaryFile(modew, suffix.txt,deleteFalse) as f:f.write(\n.join(packages))tmp_file f.nametry:cmd [sys.executable, -m, pip_audit,-r, tmp_file,--format, json]output subprocess.check_output(cmd, stderrsubprocess.STDOUT, timeout60).decode()return PipAuditScanner._parse_output(output)finally:os.unlink(tmp_file)staticmethoddef _parse_output(output: str) - ScanResult:解析 pip-audit 的 JSON 输出。result ScanResult(scan_timedatetime.now().isoformat())try:data json.loads(output)for pkg in data.get(dependencies, []):vulns pkg.get(vulns, [])for vuln in vulns:vulnerability Vulnerability(package_namepkg.get(name, unknown),installed_versionpkg.get(version, ),vulnerable_versionsvuln.get(vulnerable_versions, ),advisoryvuln.get(description, ),cve_idvuln.get(id, N/A),severityvuln.get(severity, UNKNOWN),fixed_versionvuln.get(fixed_version, ),more_info_urlvuln.get(url, ))result.vulnerabilities.append(vulnerability)result.scanned_packages 1result.is_clean len(result.vulnerabilities) 0except json.JSONDecodeError:print(解析 pip-audit 输出失败)return result# 第四部分Dependabot 模拟 class DependabotSimulator:模拟 GitHub Dependabot 的核心功能1. 解析依赖文件2. 检查版本兼容性3. 生成更新建议staticmethoddef analyze_dependency_file(filepath: str) - Dict:分析依赖文件生成类似 Dependabot 的报告。if not os.path.exists(filepath):return {error: f文件不存在{filepath}}with open(filepath, r) as f:content f.read()# 解析依赖dependencies []for line in content.split(\n):line line.strip()if line and not line.startswith(#):# 处理 、、 等版本约束match re.match(r([\w\-_])\s*([!~])\s*([\w.]), line)if match:dependencies.append({name: match.group(1),operator: match.group(2),version: match.group(3)})return {file: filepath,dependency_count: len(dependencies),dependencies: dependencies,analysis_time: datetime.now().isoformat(),recommendations: DependabotSimulator._generate_recommendations(dependencies)}staticmethoddef _generate_recommendations(deps: List[Dict]) - List[Dict]:生成依赖更新建议。recommendations []for dep in deps:# 检查是否使用了精确版本固定建议使用范围约束if dep.get(operator) :recommendations.append({package: dep[name],current: f{dep[operator]}{dep[version]},suggestion: f{dep[version]},{int(dep[version].split(.)[0]) 1}.0.0,reason: 建议使用范围约束以接收补丁更新})return recommendations# 第五部分综合演示 def demo_dependency_audit():演示依赖安全检查的完整流程。print( 依赖安全检查演示 \n)# 创建示例 requirements 文件req_content # 项目依赖flask2.2.3requests2.28.1django3.2.18cryptography38.0.3pyyaml5.4req_file demo_requirements.txtwith open(req_file, w) as f:f.write(req_content)# 使用 Dependabot 模拟器分析print(--- Dependabot 依赖分析 ---)analysis DependabotSimulator.analyze_dependency_file(req_file)print(f发现 {analysis[dependency_count]} 个依赖)for rec in analysis.get(recommendations, []):print(f 建议{rec[package]} {rec[current]} - {rec[suggestion]})# 扫描结果汇总print(\n--- 安全建议 ---)print(定期执行依赖安全检查的最佳实践1. 每次 CI/CD 构建时自动扫描2. 使用 pip-audit 作为主要的漏洞检测工具3. 启用 GitHub Dependabot 自动创建更新 PR4. 订阅安全公告邮件列表如 oss-security5. 及时更新受影响的依赖包6. 使用锁定文件requirements.txt 或 Pipfile.lock)# 清理临时文件if os.path.exists(req_file):os.unlink(req_file)if __name__ __main__:demo_dependency_audit()
相关文章
Python访问修饰符:单下划线、双下划线与名称改写机制详解
1. 从“权限控制”到“君子协定”:Python访问修饰符的哲学与实践刚接触Python的开发者,尤其是从Java、C这类强封装语言转过来的朋友,第一次听说Python没有真正的private、protected关键字时,多半会心里一咯噔。这代码还怎么维护&a…
Windows 全局替换系统字体为鸿蒙字体:PE 替换、手动安装与 FontLink 修复完整教程
🔥个人主页:杨利杰YJlio❄️个人专栏:《Sysinternals实战教程》《Windows PowerShell 实战》《WINDOWS教程》《IOS教程》《微信助手》《锤子助手》 《Python》 《Kali Linux》 《那些年未解决的Windows疑难杂症》🌟 让复杂的事情更…
【字节跳动】贵州贵安绿色山地液冷算力枢纽 极致精细化逐条全拆解
(零合并、零简化、全维度量化保留两位小数,拆解至每一处构件、每一台设备、每一寸管线、每一个点位、人员物资全覆盖)一、土地立项征地板块1. 征地总占地面积:38000.00㎡2. 建设用地性质:一类工业出让用地3. 土地出让年…
MCXA14x/15x硬件设计实战:从最小系统到PCB布局避坑指南
1. 项目概述:从芯片手册到可落地的硬件设计拿到一份全新的微控制器(MCU)数据手册和硬件设计指南,对于很多硬件工程师来说,心情是复杂的。一方面,这意味着一个充满可能性的新项目即将开始;另一方…
电力系统混合仿真精度提升:从误差量化到工程实践
1. 项目概述:当“显微镜”遇上“广角镜”在电力系统仿真这个行当里干了十几年,我常常觉得,电磁暂态(EMT)仿真和机电暂态(TSA)仿真,就像实验室里的两套观察设备。一套是“显微镜”&am…
数据分析:如何用Excel查找每个ID的表现最佳国家
在日常工作中,我们经常需要对数据进行分析和处理。今天我们来探讨一个常见但有趣的问题:如何用Excel从多个国家的不同ID数据中快速找出每个ID在哪个国家表现最好。下面我将一步一步解释如何实现这个功能。 背景介绍 假设我们有一个包含以下信息的Excel表格: A列: 国家名称…
DeepSeek V4 Pro与Flash模型差异及API接入实战指南
1. 项目概述:这不是一次简单升级,而是一次模型能力边界的重新定义DeepSeek V4 的正式上线,在我看来不是又一个“版本号1”的例行更新,而是大模型落地进程中一个关键的分水岭。过去半年里,我带着团队在三个不同规模的代…
嵌入式Wi-Fi模块硬件设计实战:TWR-WIFI-G1500M开发板深度解析
1. 项目概述:从硬件手册到实战开发板 如果你正在为一个嵌入式项目寻找稳定、低功耗的Wi-Fi连接方案,或者手头恰好有一块尘封的Freescale(现NXP)TWR-WIFI-G1500M开发板却不知从何下手,那么这篇深度解析正是为你准备的。…
嵌入式WDT自动校准:原理、实现与高可靠设计避坑指南
1. 从一次“死机”说起:为什么WDT校准不是小事 那天下午,我正在调试一块基于PIC16F877A的工业控制板。程序逻辑很简单:采集几个传感器的数据,通过串口上报,然后进入低功耗休眠,等待定时器中断唤醒。测试了几…
Google AI Studio 300美元额度的真相与实战指南
1. 这300美金不是“送钱”,而是Google埋下的第一道技术门槛 你看到标题里那个醒目的“$300美金”时,第一反应可能是:又一个免费额度?领完就完事?我亲手试过——这300美金根本不是红包,而是一张入场券&…
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程 【免费下载链接】diff-pdf A simple tool for visually comparing two PDF files 项目地址: https://gitcode.com/gh_mirrors/di/diff-pdf 还在为PDF文档的版本对比而烦恼吗?diff-pdf这款开…
嵌入式GUI控件实战:ROTARY、SCROLLBAR、SLIDER原理与应用
1. 嵌入式GUI控件:从原理到实战的深度解析在嵌入式系统开发中,图形用户界面(GUI)的设计与实现往往是项目从“能用”到“好用”的关键一跃。不同于资源充沛的PC或移动平台,嵌入式设备的GUI需要在有限的CPU性能、内存空间…
Google AI Studio 300美元额度的真相与实战指南
1. 这300美金不是“送钱”,而是Google埋下的第一道技术门槛 你看到标题里那个醒目的“$300美金”时,第一反应可能是:又一个免费额度?领完就完事?我亲手试过——这300美金根本不是红包,而是一张入场券&…
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程 【免费下载链接】diff-pdf A simple tool for visually comparing two PDF files 项目地址: https://gitcode.com/gh_mirrors/di/diff-pdf 还在为PDF文档的版本对比而烦恼吗?diff-pdf这款开…
嵌入式GUI控件实战:ROTARY、SCROLLBAR、SLIDER原理与应用
1. 嵌入式GUI控件:从原理到实战的深度解析在嵌入式系统开发中,图形用户界面(GUI)的设计与实现往往是项目从“能用”到“好用”的关键一跃。不同于资源充沛的PC或移动平台,嵌入式设备的GUI需要在有限的CPU性能、内存空间…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…