»资源 »快速阅读 »Python安全包–快速阅读

Python安全包–快速阅读

Python安全包

尝试一种更快更简单的方法来管理您的Python依赖项。使用ActiveState提供的Python 3.9,并使用所需的包和依赖项构建您自己的运行时。通过在ActiveState平台上创建帐户188bet金宝搏备用或者使用您的GitHub帐户登录。

Safety是一个开源的Python包和命令行工具,用于根据其自己的“Safety DB”Python漏洞数据库检查Python代码依赖性中的已知安全漏洞。

安全性可用于检查以下方面的Python漏洞:

  • 虚拟和非虚拟环境
  • 包含在requirements.txt文件中的包
  • 使用–标准偏差旗帜
  • 基于Python的Docker映像
  • 通过集成安全CI使用您的Github帐户的在线工具
  • Django应用程序使用安全Django

请注意,如果您使用pipenv检查,它依靠安全性检查被pipenv锁定的组件中的已知漏洞。

安全安装先决条件

Safety与Python.org上的Python 3.5+兼容。Pip/pip3是Python的官方包管理器,是安装Python包的推荐工具。

要检查是否已安装安全设备并已更新,请运行以下命令:

python-mpip显示安全性

输出应类似于:

名称:安全版本:1.10.3摘要:检查已安装的依赖项是否存在已知漏洞。主页:https://github.com/pyupio/safety作者:pyup.io

安全装置

通过运行以下命令,可以使用pip在Linux、MacOS和Windows操作系统上安装Safety:

pip安装安全

python-mpip安装安全性

要将安全性升级到最新版本,请输入:

pip安装--升级安全性

要安装特定版本的安全软件,如1.10.2版,请输入:

pip安装请求==1.10.2

安装安全装置后,您可以运行安全检查用于检查当前目录的命令:

安全检查

输出应类似于:

安全报告使用免费数据库检查了42个包(每月更新一次)---->pylint,安装于2.5.3,受影响<2.7.0,id 39621->aiohttp,安装于3.6.2,受影响<3.7.4,id 39659->urllib3,安装于1.25.8,受影响<1.25.9,id 38834...

安装安全数据库

Safety DB是一个Python软件包漏洞数据库。Safety DB通过与Github中的Safety DB存储库同步每月更新一次。数据库中的大多数条目是通过筛选某些关键字的常见漏洞和暴露(CVE)和更改日志来找到的。Safety DB可从PyPI获得。

Safety DB包需要与Safety分开安装,并且可以使用以下命令进行安装:

安装安全数据库

使用安全装置检查标准DIN

安全性能够使用–标准偏差旗帜例如,要使用–标准偏差标记,输入:

Linux:

cat requirements.txt |安全检查-标准DIN

窗户:

Echo requirements.txt |安全检查——标准DIN

要安全检查pip冻结的输出:

pip冻结|安全检查——标准DIN

要安全检查特定软件包版本,无论该软件包是否安装在您的系统中,请输入:

回声“=“|安全检查——标准DIN

使用安全检查Docker

要安全检查requirements.txt文件,请输入:

安全检查-r requirements.txt

要安全检查Docker映像中的requirements.txt文件,请执行以下操作:

Linux:

cat requirements.txt | docker run-i--rm pyupio/安全检查--stdin

要安全检查Docker映像中的Python包,请执行以下操作:

窗户:

回声“=“| docker run-i--rm pyupio/安全检查--stdin

Python依赖项管理和漏洞修复的现代解决方案—试试ActiveState的平台

依赖项解析是整个过程的核心188bet金宝搏备用ActiveState平台。当您创建项目并开始添加需求时,平台会告诉您这些需求具有哪些依赖关系。

Acti188bet金宝搏备用veState平台是一个基于云的Python构建工具。它为以下各项提供构建自动化和漏洞修复:

  • Python语言核心,包括Python 2.7和Python 3.5+
  • Python包及其依赖项,包括:
  • 可传递依赖项(即依赖项的依赖项)
  • 链接C和Fortran库,因此您可以构建数据科学包
  • Windows、Linux和macOS的操作系统级依赖项
  • 共享依赖项(即OpenSSL)
  • 在几分钟内找到、修复并自动重建Python包(如Django和environments)的安全版本

Python 3.9 Web GUI屏幕截图Acti188bet金宝搏备用veState平台旨在处理每种语言的每种依赖关系。这意味着处理C/C++级别的库、外部工具和所有存在的条件依赖关系。更进一步,我们的最终目标是支持多语言项目。这意味着您可以使用Python和Per创建一个项目我们将确保两种语言使用相同(最新)的OpenSSL版本。

Python依赖关系管理在运行

亲身体验ActiveState平台如何帮助您管理Python环境的依赖关系。只需188bet金宝搏备用运行以下命令即可安装Python 3.9和我们的包管理器(状态工具):

窗户

powershell-Command“&$([scriptblock]::Create((新对象Net.WebClient).DownloadString('https://platform.activestate.com/dl/cli/install.ps1')-激活默认的ActiveState实验室/Python-3.9Beta“

Linux

sh<(旋度-qhttps://platform.activestate.com/dl/cli/install.sh)--激活默认的ActiveState实验室/Python-3.9Beta

现在您可以运行state安装。了解有关如何使用状态工具管理Python环境。

让我们知道你在这方面的经验国家社区论坛。

观看此视频学习如何使用ActiveState188bet金宝搏备用平台创建Python 3.9环境,然后使用平台的CLI(状态工具)安装和管理它。

观看此视频以了解平台可用于查找和修复漏洞在Python和Perl环境中。

推荐阅读

依赖解析优化–ActiveState的方法

管理Python包–快速阅读

相关链接

了解更多:ActiveState的Python3.9有何不同

博客:更好地管理Python包

编码器数据表:高级软件包管理

白皮书:Python包管理指南
苏哈尼S