Bandit 安全扫描工具安装与使用指南

目录结构及介绍

Bandit 是一个用于检测Python代码中常见安全问题的工具. 下面是项目的主要目录结构:

• main: 包含 bandit, test bandit, 和 bin 等目录以及一些核心的 .py 文件.

  • bandit: 核心功能实现所在目录，包括了进行安全检查的各种插件(plugins)、相关的配置管理(config manager)、AST抽象语法树处理逻辑(ast utilities)等.

  • tests: 测试脚本存放位置，确保Bandit正确地识别并报告错误或漏洞。

  • bin: 包括执行脚本 bandit, 这个可执行脚本是启动Bandit进行安全分析的主要方式。

• setup.py: 负责构建项目和管理依赖关系的脚本.

• requirements.txt: 列出了运行 Bandit 所需的外部库版本.

• setup.cfg: 配置选项设置文件，控制从打包到测试的一系列行为.

• .gitignore: 指定哪些文件或目录被忽略不加入仓库.

启动文件介绍

bin/bandit: 这是Bandit的主入口点，一个shell脚本定义了如何调用 Bandit 的命令行界面(CLI). 当你通过终端执行 bandit 命令时, 实际上是在运行这个脚本。它解析命令行参数，初始化Bandit实例，然后开始扫描工作。

在命令行输入以下命令即可开始对你的代码进行安全检查：

python3 -m bandit -r ./your_project_directory/

或者简单地：

bandit -r ./your_project_directory/

这将递归地搜索目标目录下所有的 Python 文件，然后报告任何找到的安全问题。

配置文件介绍

setup.cfg

虽然 setup.cfg 不专属于 Bandit 的配置项，但在这个文件里可以指定项目的元数据、构建需求和其他各种细节。例如，你可以在这里设置额外的需求包来创建 sdist 或 wheel 格式的包:

[bdist_wheel]
universal = 1

然而对于 Bandit 的具体操作配置，一般我们关注的是 bandit.config 或者 .bandit.yml 文件（注：这个YAML配置文件的名字不是固定的），通常存放在用户的 HOME 目录下（.bandit.yml）或项目的根目录内，用于自定义扫描策略和排除某些规则。

配置文件的主要组成部分有:

• plugins: 可以启用或禁用特定的安全检查插件。
• exclude: 排除要扫描的目标目录列表。
• include: 明确列出要扫描的文件模式，默认情况下所有 .py 文件都会被扫描。
• profile: 预设的规则集名称，如 “strict”，“aggressive” 或者 “certainty”，分别代表不同严格程度的扫描策略。
• skips: 排除具体的规则ID编号，这样即便在预设的 profile 中开启了这些规则也不会实际运行。

一个基本的配置示例可能是这样的：

{
    "files": {
        "exclude": ["venv", "site-packages"]
    },
    "plugins": {
        "enable": ["B101", "B301"],
        "disable": []
    },
    "profiles": {
        "my_custom_profile": [
            {"test_id": "B101", "test_name": "assert_used"},
            {"test_id": "B301", "test_name": "subprocess_without_shell_equals_true"}
        ]
    }
}

上面的配置指定了要排除的文件夹路径，并且明确启用了两个安全性检查规则插件（assert_used 和 subprocess_without_shell_equals_true），这可以防止你在生产环境中不小心使用这些可能导致安全风险的功能。

以上就是关于 Bandit 开源项目的目录结构、启动过程和配置方法的一个简明指南。希望这份文档能够帮助开发者们更高效地应用 Bandit 来提升 Python 应用程序的安全性。