Что такое Bandit?

Bandit — это инструмент статического анализа безопасности, специально разработанный для Python кода. Он сканирует Python проекты на предмет общих проблем безопасности и предоставляет детальные отчеты о найденных уязвимостях.

Основные возможности Bandit

Специализация на Python — глубокий анализ специфичных для Python уязвимостей
Готовые правила — набор правил для типичных проблем безопасности
Гибкая конфигурация — настройка правил и исключений
Различные форматы отчетов — JSON, XML, CSV, HTML
CI/CD интеграция — легкая интеграция в pipeline
Плагинная архитектура — возможность создания собственных правил

Установка Bandit

Установка через pip:

pip install bandit
# или
poetry add --group dev bandit

# Установка с дополнительными форматами отчетов
pip install bandit[toml]

Базовое использование

Сканирование Python проекта:

# Сканирование текущей директории
bandit -r .

# Сканирование конкретного файла
bandit example.py

# Сканирование с выводом в JSON
bandit -r . -f json -o bandit-report.json

# Сканирование с указанием уровня confidence
bandit -r . -i -l

# Исключение определенных тестов
bandit -r . -s B101,B601

Конфигурация Bandit

Создание файла конфигурации .bandit:

[bandit]
exclude_dirs = tests,migrations,venv
tests = B201,B301
skips = B101,B601

[bandit.assert_used]
skips = ['*_test.py', '*test_*.py']

Конфигурация через pyproject.toml:

[tool.bandit]
exclude_dirs = ["tests", "migrations", "venv"]
tests = ["B201", "B301"]
skips = ["B101", "B601"]

[tool.bandit.assert_used]
skips = ['*_test.py', '*test_*.py']

Примеры уязвимостей, которые находит Bandit

Небезопасное использование eval():

# Плохо - B307: eval usage
user_input = input("Введите выражение: ")
result = eval(user_input)  # Уязвимость!

# Хорошо - использование ast.literal_eval
import ast
try:
    result = ast.literal_eval(user_input)
except (ValueError, SyntaxError):
    print("Некорректное выражение")

Небезопасные временные файлы:

# Плохо - B108: hardcoded_tmp_directory
import tempfile
temp_file = "/tmp/myapp.tmp"  # Уязвимость!

# Хорошо - использование tempfile
import tempfile
with tempfile.NamedTemporaryFile(delete=False) as temp_file:
    temp_file.write(b"data")

Небезопасные HTTP запросы:

# Плохо - B501: request_with_no_cert_validation
import requests
requests.get("https://api.example.com", verify=False)  # Уязвимость!

# Хорошо - проверка сертификата
import requests
requests.get("https://api.example.com", verify=True)

Интеграция с pre-commit

Добавление в .pre-commit-config.yaml:

repos:
  - repo: https://github.com/PyCQA/bandit
    rev: '1.7.5'
    hooks:
      - id: bandit
        args: ['-c', 'pyproject.toml']
        additional_dependencies: ['bandit[toml]']

Интеграция с CI/CD

Пример для GitHub Actions:

name: Security Scan

on: [push, pull_request]

jobs:
  security:
    runs-on: ubuntu-latest
    
    steps:
    - uses: actions/checkout@v3
    
    - name: Set up Python
      uses: actions/setup-python@v4
      with:
        python-version: '3.11'
    
    - name: Install dependencies
      run: |
        pip install bandit[toml]
    
    - name: Run Bandit security scan
      run: |
        bandit -r . -f json -o bandit-report.json
        bandit -r . -f txt
    
    - name: Upload security scan results
      uses: actions/upload-artifact@v3
      with:
        name: bandit-report
        path: bandit-report.json
      if: always()

Создание собственных правил

Пример создания плагина для Bandit:

import bandit
from bandit.core import test_properties

@test_properties.test_id('B999')
@test_properties.test_name('custom_security_check')
def custom_security_check(context):
    """Проверка на использование небезопасной функции"""
    
    if context.call_function_name == 'dangerous_function':
        return bandit.Issue(
            severity=bandit.HIGH,
            confidence=bandit.HIGH,
            text="Использование dangerous_function() может быть небезопасным",
            lineno=context.node.lineno,
        )

Применение Bandit

Code Review — автоматическая проверка безопасности в PR
CI/CD Pipeline — блокировка деплоя при критических уязвимостях
Security Audit — регулярный аудит кодовой базы
Обучение разработчиков — выявление небезопасных паттернов
Compliance — соответствие стандартам безопасности

Преимущества использования

Специализация — фокус на Python-специфичных уязвимостях
Простота использования — минимальная настройка для начала работы
Быстрота — быстрое сканирование больших проектов
Интеграция — легкая интеграция в существующие процессы
Активное развитие — регулярные обновления и новые правила

Основные категории проверок

Injection flaws — SQL, command, code injection
Crypto issues — слабые алгоритмы шифрования
File handling — небезопасная работа с файлами
Network security — проблемы с SSL/TLS
Input validation — недостаточная валидация входных данных

FAQ

Может ли Bandit найти все уязвимости в Python коде?

Bandit находит многие типичные уязвимости, но не может заменить полноценный security review. Рекомендуется использовать его вместе с другими инструментами безопасности.

Как обрабатывать ложные срабатывания?

Можно использовать комментарии # nosec или настроить исключения в конфигурационном файле для конкретных правил или файлов.

Поддерживает ли Bandit Django проекты?

Да, Bandit имеет специальные правила для Django, включая проверки на XSS, CSRF и другие веб-уязвимости.

Что такое Bandit?

Специализированный инструмент для поиска уязвимостей безопасности в Python коде