是否有適用於Pyramid的自動安全掃描儀?金字塔/ Python安全掃描器?
我已經看到了其他框架的這些,如用於Rails的Brakeman。如果有一個金字塔(或者一般的Python),那真是太棒了。
然後,如果沒有,我不會感到驚訝,因爲它不像Rails那麼受歡迎。
是否有適用於Pyramid的自動安全掃描儀?金字塔/ Python安全掃描器?
我已經看到了其他框架的這些,如用於Rails的Brakeman。如果有一個金字塔(或者一般的Python),那真是太棒了。
然後,如果沒有,我不會感到驚訝,因爲它不像Rails那麼受歡迎。
我不確定Pyramid或任何Python應用程序是否非常適合安全掃描程序。我正在閱讀this list,我不確定這些問題是否適用於Python Web應用程序。不過這是個有趣的想法。
像金字塔這樣的框架應該有安全的默認設置,這樣OWASP十大最常見的漏洞不應該首先發生。 SQLAlchemy的或者Django的ORM的
使用防止SQL注入
模板引擎默認情況下,做安全的HTML逃生
不安全的序列化(Python的酸洗)是不存在的,因爲大多數代碼使用JSON
我還沒有看到任何人在Python中做eval()
,雖然這並不意味着某個可憐的靈魂某處不會這樣做
等
但是新手程序員肯定能拍出自己與這些類型的問題,給足它將使感通過自動掃描儀捕捉硬編碼的SQL字符串或eval()
使用。但是我十多年來一直在與各種Python Web項目和安全性合作的感覺是,在Python世界中,問題的狀態更加健壯,使用安全掃描程序的好處將會非常小或不存在。
您可以對Rails進行完全相同的說明:)人們仍然關閉默認設置,繞過保護並編寫不安全的代碼。 – Justin
ORM非常棒,但我還沒有看到一個不重要的程序,它不需要繞過它,並至少使用一次原始SQL查詢。模板引擎需要通過可信HTML傳遞的方式,這可能不是。等等。 – user5670247
此外,如果您是完美的並且始終遵循最佳做法,那麼安全掃描程序不會對您大叫。當你不這樣做的時候,他們會趕上。 – user5670247