Safety如何安裝使用

這篇文章將為大家詳細(xì)講解有關(guān)Safety如何安裝使用，小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

為企業(yè)提供成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、網(wǎng)站優(yōu)化、網(wǎng)絡(luò)營(yíng)銷推廣、競(jìng)價(jià)托管、品牌運(yùn)營(yíng)等營(yíng)銷獲客服務(wù)。創(chuàng)新互聯(lián)擁有網(wǎng)絡(luò)營(yíng)銷運(yùn)營(yíng)團(tuán)隊(duì)，以豐富的互聯(lián)網(wǎng)營(yíng)銷經(jīng)驗(yàn)助力企業(yè)精準(zhǔn)獲客，真正落地解決中小企業(yè)營(yíng)銷獲客難題，做到“讓獲客更簡(jiǎn)單”。自創(chuàng)立至今，成功用技術(shù)實(shí)力解決了企業(yè)“網(wǎng)站建設(shè)、網(wǎng)絡(luò)品牌塑造、網(wǎng)絡(luò)營(yíng)銷”三大難題，同時(shí)降低了營(yíng)銷成本，提高了有效客戶轉(zhuǎn)化率，獲得了眾多企業(yè)客戶的高度認(rèn)可！

Safety

Safety是一款功能強(qiáng)大的漏洞檢測(cè)工具，可以幫助廣大研究人員檢測(cè)設(shè)備上已安裝依賴組件中存在的已知安全漏洞。默認(rèn)配置下，Safety使用的是開(kāi)放Python漏洞數(shù)據(jù)庫(kù)-Safety DB，但是大家也可以使用--key選項(xiàng)來(lái)更新工具，并使用pyup.io的Safety API。

工具安裝

我們可以使用pip來(lái)安裝Safety，不過(guò)請(qǐng)大家記住，當(dāng)前版本的Safety僅支持Python 3.5及其更高版本的環(huán)境：

pip install safety

工具使用

運(yùn)行下列命令，即可判斷當(dāng)前以選擇的安裝了依賴組件的虛擬環(huán)境，并檢測(cè)已知的安全漏洞：

safety check

運(yùn)行之后，我們將看到如下圖所示的報(bào)告界面：

現(xiàn)在，我們來(lái)安裝一些存在安全問(wèn)題的依賴組件：

pip install insecure-package

接下來(lái)，再次運(yùn)行漏洞檢測(cè)命令：

safety check

這一次的掃描結(jié)果如下：

工具使用樣例

讀取工具所需文件

跟pip一樣，Safety能夠讀取本地requirement文件：

safety check -r requirements.txt

從Stdin讀取

Safety還能夠使用--stdin參數(shù)來(lái)從Stdin讀取輸入數(shù)據(jù)。如需檢測(cè)一個(gè)本地依賴文件，可運(yùn)行下列命令：

cat requirements.txt | safety check --stdin

或者，從pip freeze的輸出讀取輸入：

pip freeze | safety check --stdin

或者，檢測(cè)一個(gè)單一依賴包：

echo "insecure-package==0.1" | safety check --stdin

在Docker中使用Safety

Safety還能夠以Docker容器的形式運(yùn)行：

echo "insecure-package==0.1" | docker run -i --rm pyupio/safety safety check --stdin

cat requirements.txt | docker run -i --rm pyupio/safety safety check --stdin

使用Safety源碼

Safety的源代碼還提供了某些額外的安全功能，安裝完成之后，我們就能夠使用常規(guī)命令行版本的Safety了。點(diǎn)擊【這里】即可獲取Safety源代碼。

通過(guò)CI服務(wù)使用Safety

Safety還能夠配合CI管道一起使用，如果掃描到了一個(gè)漏洞的話，它會(huì)返回一個(gè)非零退出狀態(tài)。

Travis：

install:

  - pip install safety

 

script:

  - safety check

Gitlab CI：

safety:

  script:

    - pip install safety

- safety check

Tox：

[tox]

envlist = py37

 

[testenv]

deps =

    safety

    pytest

commands =

    safety check

Pytest

深度GitHub整合

如果你想要將Safety跟你自己的GitHub庫(kù)進(jìn)行深度整合的話，可以直接使用pyup.io中的Safety服務(wù)，即Safety CI。Safety CI能夠檢測(cè)GitHub庫(kù)中依賴組件的commit和pull request，并尋找已知的安全漏洞，并將檢測(cè)結(jié)果和狀態(tài)顯示在GitHub中。

在產(chǎn)品中使用Safety

Safety是免費(fèi)且開(kāi)源的，它的底層開(kāi)放數(shù)據(jù)庫(kù)每個(gè)月還會(huì)更新一次。為了訪問(wèn)到所有最新添加進(jìn)去的安全漏洞，我們需要使用一個(gè)Safety API密鑰以及一個(gè)付費(fèi)的pyup.io賬號(hào)（約99美元）。

工具選項(xiàng)

--key

即pyup.io的漏洞數(shù)據(jù)庫(kù)API密鑰，需要在SAFETY_API_KEY環(huán)境變量中設(shè)置：

safety check --key=12345-ABCDEFGH

--db

指向本地?cái)?shù)據(jù)庫(kù)的目錄路徑，其中包括insecure.json和insecure_full.json：

safety check --db=/home/safety-db/data

--proxy-host

代理主機(jī)的IP或DNS

--proxy-port

代理端口號(hào)

--proxy-protocol

代理協(xié)議(https或http)

--json

JSON格式的漏洞報(bào)告輸出：

safety check --json

[

    [

        "django",

        "<1.2.2",

        "1.2",

        "Cross-site scripting (XSS) vulnerability in Django 1.2.x before 1.2.2 allows remote attackers to inject arbitrary web script or HTML via a csrfmiddlewaretoken (aka csrf_token) cookie.",

        "25701"

    ]

]

--full-report

獲取完整的漏洞掃描報(bào)告，還包括安全建議：

safety check --full-report

+==============================================================================+

|                                                                              |

|                               /$$$$$$            /$$                         |

|                              /$$__  $$          | $$                         |

|           /$$$$$$$  /$$$$$$ | $$  \__//$$$$$$  /$$$$$$   /$$   /$$           |

|          /$$_____/ |____  $$| $$$$   /$$__  $$|_  $$_/  | $$  | $$           |

|         |  $$$$$$   /$$$$$$$| $$_/  | $$$$$$$$  | $$    | $$  | $$           |

|          \____  $$ /$$__  $$| $$    | $$_____/  | $$ /$$| $$  | $$           |

|          /$$$$$$$/|  $$$$$$$| $$    |  $$$$$$$  |  $$$$/|  $$$$$$$           |

|         |_______/  \_______/|__/     \_______/   \___/   \____  $$           |

|                                                          /$$  | $$           |

|                                                         |  $$$$$$/           |

|  by pyup.io                                              \______/            |

|                                                                              |

+==============================================================================+

| REPORT                                                                       |

+============================+===========+==========================+==========+

| package                    | installed | affected                 | ID       |

+============================+===========+==========================+==========+

| django                     | 1.2       | <1.2.2                   | 25701    |

+==============================================================================+

| Cross-site scripting (XSS) vulnerability in Django 1.2.x before 1.2.2 allows |

|  remote attackers to inject arbitrary web script or HTML via a csrfmiddlewar |

| etoken (aka csrf_token) cookie.                                              |

+==============================================================================+

--bare

僅輸出包含漏洞的依賴包，可結(jié)合其他工具一起使用：

safety check --bare

cryptography django

--cache

漏洞數(shù)據(jù)庫(kù)本地緩存，有效時(shí)長(zhǎng)為兩小時(shí)：

safety check --cache

--stdin

從stdin讀取輸入數(shù)據(jù)：

cat requirements.txt | safety check --stdin

pip freeze | safety check --stdin

echo "insecure-package==0.1" | safety check --stdin

--output, -o

將掃描結(jié)果輸出至文件：

safety check -o insecure_report.txt

safety check --output --json insecure_report.json

開(kāi)源許可證協(xié)議

本項(xiàng)目的開(kāi)發(fā)與發(fā)布遵循MIT開(kāi)源許可證協(xié)議。

關(guān)于“Safety如何安裝使用”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。

分享題目：Safety如何安裝使用
文章URL：http://muchs.cn/article30/ighepo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App開(kāi)發(fā)、品牌網(wǎng)站建設(shè)、微信公眾號(hào)、網(wǎng)站制作、網(wǎng)站內(nèi)鏈、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)