根据linux系统库查找所有Python包

Question

让我们假设安全扫描显示某个linux系统库中存在高漏洞的场景。

如何找到需要此系统库的所有python包(在使用pip和conda安装的许多包中)？

换句话说，pipdeptree，但返回系统库。

• 更多信息。作为减轻风险的一种形式，我们将暂时卸载受影响的python包，以摆脱易受攻击的系统库。我们可以确保系统库对于底层操作系统的正确操作并不是必需的，因为该漏洞不存在于只包含操作系统的基本映像中。我们不能继续安装易受攻击的库，而只能禁用/阻止构建时安全扫描必须干净地传递(即没有安装库)。

Answer 1

事实证明，这个特定的包有一个conda-installable python包，名称相同，取决于易受攻击的系统库，其中系统依赖项已经进行了修补。

因此，第一步是使用conda升级python包，它还升级了conda-特定文件夹(/opt/conda/bin/<package>)中的系统二进制文件：

conda install -y <package>

但是，用户级位置(/usr/bin/)中的同一个库仍然易受攻击，因此我不得不用conda-patched版本覆盖它(我检查了库源回购中的差异，以确保补丁是次要的)：

rm /usr/bin/<package> && ln -s /opt/conda/bin/<package> /usr/bin/<package> 

此外，由于初始安全扫描也是在执行conda修补程序之前运行的，所以我必须将CVE添加到白名单中(但只针对初始扫描覆盖的这个对接者映像，而不是对补丁之后扫描的最终图像)。