问题标签 [bandit-python]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

19 问题
Newest
Active
Bountied
318
Unanswered
0 投票
1 回答
403 浏览

python - 为上下文强盗算法生成人工数据集

我想生成以下人工数据集来测试上下文老虎机算法。在 python 中完成它的最简单方法是什么?任何人都可以指向一个演示它的代码的链接吗?

K 个动作的单位向量 θ1 , ..., θK 是从 Rd 统一绘制的。在 T 次完整迭代的每次迭代 t 中,首先从 ∥x| 内的均匀分布中采样上下文 xt ≤ 1。

0 投票
1 回答
2501 浏览

python - 使用 Bandit 进行安全分析的 Python 代码

我想使用 Bandit 静态分析器获取 python 代码进行分析。对于 python 2.7,主要强调的是安全性。

任何人都可以帮忙吗?

0 投票
3 回答
22024 浏览

python - 从 python bandit 安全问题报告中忽略/跳过一些问题的方法是什么?

我有一堆django_mark_safe错误

我很好奇是否有办法跳过或忽略这些行?我知道使用mark_safe可能很危险,但如果我想冒险怎么办?例如,此方法是在 Django admin 中显示自定义链接的唯一方法,所以我不知道任何其他选项如何做到这一点mark_safe

0 投票
2 回答
2353 浏览

python - SonarQube 不显示 Bandit 的 Python 安全漏洞报告

概述

我正在使用 SonarQube 7.4.0.18908 来收集代码覆盖率并为 Python 3.6 项目执行静态代码分析。服务器在 AWS 中运行。事情按预期工作(见下面的截图)。

现在我想为项目添加安全扫描。我“选择”了Bandit,但实际上这似乎是目前与 SonarQube for Python 集成的唯一工具,如Import Bandit Issues Reports中所述。SonarPython 插件支持安装在 SonarQube 服务器上的 Bandit 分析。为了在本地生成漏洞报告,我使用的是 Bandit 1.5.1 pip3 模块。

问题

漏洞报告没有显示 - 甚至可能没有上传 - 到 SonarQube(参见下面的相同屏幕截图)。

重现步骤

我将此行添加到项目的sonar-project.properties文件中:

然后我运行了报告:

我验证了它bandit-report.json包含正确的数据:

然后我发布到 SonarQube:

扫描仪的输出:

这是完整的sonar-project.properties文件:

但是我在 SonarQube UI 中没有看到这个报告。我错过了什么?

相关问题

使用 Bandit 进行安全分析的 Python 代码

这是我可以在 SO 上找到的唯一相关问题。我的问题不一样。正如我所提到的,Bandit 报告是在本地正确生成的。但问题似乎在于上传到 SonarQube。

空漏洞报告截图

0 投票
1 回答
795 浏览

python-3.x - Bandit 问题 B108:hardcoded_tmp_directory 和 B102:exec_used

我在我的项目上运行了 bandit 并遇到了以下安全问题,我不明白为什么这是一个问题以及这些问题的解决方案是什么。

在寻找B108问题的解决方案后。我发现这个where/tmptempfile.gettempdir()函数替换了,但是两者的值是一样的。tempfile.gettempdir()解决方案是什么/tmp

0 投票
0 回答
108 浏览

python - 安装 Pylint

我正在尝试打开 Pylint。

我输入“Ctrl + Shift + P”,然后单击 Python:选择 Linter,然后尝试单击“bandit”。

当我这样做时,右下角的弹出窗口显示“未安装 Linter bandit”。

当我点击安装时,我得到:

我已经将我的pip版本升级到最新版本。基本谷歌搜索告诉我这是使用虚拟环境,并且venv使用的是早期版本pip,但我不知道如何解决这个问题。

请帮忙。

0 投票
0 回答
1721 浏览

python - Python subprocess.run 以安全的方式运行

我的 Python 脚本必须运行只能通过控制台获得的二进制文件,所以我使用subprocess.run它,它看起来像这样:

它工作正常,但Bandit报告了一些问题:

[B404:blacklist] Consider possible security implications associated with subprocess module.

[B602:subprocess_popen_with_shell_equals_true] subprocess call with shell=True identified, security issue

有没有办法以更安全的方式运行 CLI 来让 Bandit 开心?

0 投票
0 回答
243 浏览

python - 什么是在不涉及炮击的 python 中运行强盗的更简洁的方法

我正在使用以下包:https ://github.com/PyCQA/bandit在运行时执行一些静态分析。目前我执行以下操作:

但我试图摆脱使用 subprocess.Popen,是否可以在 python 中本地调用强盗?就像是

0 投票
1 回答
591 浏览

artificial-intelligence - 求解具有连续动作空间的多臂老虎机问题

我的问题在某个时间间隔 (0,1) 上具有单一状态和无限量的动作。经过一段时间的谷歌搜索,我发现了一些关于一种称为缩放算法的算法的论文,它可以解决连续动作空间的问题。但是我的实现不善于利用。因此,我正在考虑添加一种 epsilon-greedy 行为。

结合不同的方法是否合理?

你知道我的问题的其他方法吗?

代码示例:

0 投票
4 回答
3798 浏览

python - 如何让强盗在测试中跳过 B101?

我正在使用 bandit 检查我的代码是否存在潜在的安全问题:

但是,bandit 发现的最常见的项目是B101。它由测试中的断言语句触发。我使用 pytest,所以这不是一个问题,而是一个好习惯。我现在创建了一个.bandit文件

但这也跳过了许多其他代码。这个问题有解决方案吗?


12345678910