关于pip-auditpip-audit是一款功能强大的安全漏洞扫描工具 , 该工具主要针对Python环境 , 可以帮助广大研究人员扫描和测试Python包中的已知安全漏洞 。 pip-audit使用了PythonPackagingAdvisory数据库PyPIJSONAPI作为漏洞报告源 。
功能介绍
工具安装pip-audit基于Python开发 , 且要求本地环境为Python 3.7或更新版本 。 安装并配置好Python环境之后 , 就可以使用下列命令并通过pip来安装pip-audit了:
1、支持对本地环境和依赖组件(requirements风格文件)进行安全审计;
2、支持多种漏洞服务(PyPI、OSV);
3、支持以CycloneDX XML或JSON格式发送SBOM;
4、提供人类和机器均可读的输出格式(columnar、JSON);
5、无缝接入 / 重用本地pip缓存;
python -m pip install pip-audit
第三方包pip-audit的正常运行需要使用到多个第三方包 , 具体组件包名称和版本如下图所示:
除此之外 , 我们还可以通过conda来安装pip-audit:
conda install -c conda-forge pip-audit
工具使用我们可以直接将pip-audit以独立程序运行 , 或通过“python -m”运行:
pip-audit --help
python -m pip_audit --help
usage: pip-audit [-h
[-V
[-l
[-r REQUIREMENTS
[-f FORMAT
[-s SERVICE
[-d
[-S
[--desc [{onoffauto
[--cache-dir CACHE_DIR
[--progress-spinner {onoff
[--timeout TIMEOUT
[--path PATHS
[-v
[--fix
[--require-hashes
audit the Python environment for dependencies with known vulnerabilities
optional arguments:
-h --help show this help message and exit
-V --version show program's version number and exit
-l --local show only results for dependencies in the local
environment (default: False)
-r REQUIREMENTS --requirement REQUIREMENTS
audit the given requirements file; this option can be
used multiple times (default: None)
-f FORMAT --format FORMAT
the format to emit audit results in (choices: columns
json cyclonedx-json cyclonedx-xml) (default:
columns)
-s SERVICE --vulnerability-service SERVICE
the vulnerability service to audit dependencies
- 本文转自:闪电新闻齐鲁网·闪电新闻2月14日讯 “开车!”伴随中天门索道管理站副站长宋建...|全国首条!泰山索道运营中心成功研发脱挂式全功能模拟教
- MIUI|超多阉割!升级MIUI 13后,这些功能彻底没了
- CPU|Intel要推CPU氪金:花钱解锁额外功能、Linux内核率先支持
- 折叠屏手机旦用难回的功能,你熟悉几个?
- “为什么总要求我下载打开App才能往下看?”“看个网页动不动就跳转|uc浏览器推出“网页智能保护”功能
- 安卓|懒人科技,新Android系统一项功能使在床上阅读更容易一些
- 奥睿科|内置硬盘盒功能的奥睿科9合一扩展坞拆解点评
- 内存拓展功能千万别开?别听网友忽悠,怕杀后台就得打开
- 近日|当贝超级盒子b3开启预售,支持杜比透传功能
- 微软将为 Win11 任务栏带回拖放功能,还能任意调整任务栏大小