Python安全包–快速阅读
尝试一种更快更简单的方法来管理您的Python依赖项。使用ActiveState提供的Python 3.9,并使用所需的包和依赖项构建您自己的运行时。通过在ActiveState平台上创建帐户188bet金宝搏备用或者使用您的GitHub帐户登录。
Safety是一个开源的Python包和命令行工具,用于根据其自己的“Safety DB”Python漏洞数据库检查Python代码依赖性中的已知安全漏洞。
安全性可用于检查以下方面的Python漏洞:
- 虚拟和非虚拟环境
- 包含在requirements.txt文件中的包
- 使用–标准偏差旗帜
- 基于Python的Docker映像
- 通过集成安全CI使用您的Github帐户的在线工具
- Django应用程序使用安全Django
请注意,如果您使用pipenv检查,它依靠安全性检查被pipenv锁定的组件中的已知漏洞。
安全安装先决条件
Safety与Python.org上的Python 3.5+兼容。Pip/pip3是Python的官方包管理器,是安装Python包的推荐工具。
要检查是否已安装安全设备并已更新,请运行以下命令:
python-mpip显示安全性
输出应类似于:
名称:安全版本:1.10.3摘要:检查已安装的依赖项是否存在已知漏洞。主页:https://github.com/pyupio/safety作者:pyup.io
…
安全装置
通过运行以下命令,可以使用pip在Linux、MacOS和Windows操作系统上安装Safety:
pip安装安全
或
python-mpip安装安全性
要将安全性升级到最新版本,请输入:
pip安装--升级安全性
要安装特定版本的安全软件,如1.10.2版,请输入:
pip安装请求==1.10.2
安装安全装置后,您可以运行安全检查用于检查当前目录的命令:
安全检查
输出应类似于:
安全报告使用免费数据库检查了42个包(每月更新一次)---->pylint,安装于2.5.3,受影响<2.7.0,id 39621->aiohttp,安装于3.6.2,受影响<3.7.4,id 39659->urllib3,安装于1.25.8,受影响<1.25.9,id 38834...
安装安全数据库
Safety DB是一个Python软件包漏洞数据库。Safety DB通过与Github中的Safety DB存储库同步每月更新一次。数据库中的大多数条目是通过筛选某些关键字的常见漏洞和暴露(CVE)和更改日志来找到的。Safety DB可从PyPI获得。
Safety DB包需要与Safety分开安装,并且可以使用以下命令进行安装:
安装安全数据库
使用安全装置检查标准DIN
安全性能够使用–标准偏差旗帜例如,要使用–标准偏差标记,输入:
Linux:
cat requirements.txt |安全检查-标准DIN
窗户:
Echo requirements.txt |安全检查——标准DIN
要安全检查pip冻结的输出:
pip冻结|安全检查——标准DIN
要安全检查特定软件包版本,无论该软件包是否安装在您的系统中,请输入:
回声“= “|安全检查——标准DIN
使用安全检查Docker
要安全检查requirements.txt文件,请输入:
安全检查-r requirements.txt
要安全检查Docker映像中的requirements.txt文件,请执行以下操作:
Linux:
cat requirements.txt | docker run-i--rm pyupio/安全检查--stdin
要安全检查Docker映像中的Python包,请执行以下操作:
窗户:
回声“= “| docker run-i--rm pyupio/安全检查--stdin
Python依赖项管理和漏洞修复的现代解决方案—试试ActiveState的平台
依赖项解析是整个过程的核心188bet金宝搏备用ActiveState平台。当您创建项目并开始添加需求时,平台会告诉您这些需求具有哪些依赖关系。
Acti188bet金宝搏备用veState平台是一个基于云的Python构建工具。它为以下各项提供构建自动化和漏洞修复:
- Python语言核心,包括Python 2.7和Python 3.5+
- Python包及其依赖项,包括:
- 可传递依赖项(即依赖项的依赖项)
- 链接C和Fortran库,因此您可以构建数据科学包
- Windows、Linux和macOS的操作系统级依赖项
- 共享依赖项(即OpenSSL)
- 在几分钟内找到、修复并自动重建Python包(如Django和environments)的安全版本
Acti188bet金宝搏备用veState平台旨在处理每种语言的每种依赖关系。这意味着处理C/C++级别的库、外部工具和所有存在的条件依赖关系。更进一步,我们的最终目标是支持多语言项目。这意味着您可以使用Python和Per创建一个项目我们将确保两种语言使用相同(最新)的OpenSSL版本。
Python依赖关系管理在运行
亲身体验ActiveState平台如何帮助您管理Python环境的依赖关系。只需188bet金宝搏备用运行以下命令即可安装Python 3.9和我们的包管理器(状态工具):
窗户
powershell-Command“&$([scriptblock]::Create((新对象Net.WebClient).DownloadString('https://platform.activestate.com/dl/cli/install.ps1')-激活默认的ActiveState实验室/Python-3.9Beta“
Linux
sh<(旋度-qhttps://platform.activestate.com/dl/cli/install.sh)--激活默认的ActiveState实验室/Python-3.9Beta
现在您可以运行state安装
让我们知道你在这方面的经验国家社区论坛。
观看此视频学习如何使用ActiveState188bet金宝搏备用平台创建Python 3.9环境,然后使用平台的CLI(状态工具)安装和管理它。
观看此视频以了解平台可用于查找和修复漏洞在Python和Perl环境中。