是否有标准的方法来检查requirements.txt是否存在潜在的安全问题？

Question

每个开放的代码存储库都存在安全问题。攻击者可以使用三种方式在以下文件中隐藏恶意软件：

1. 滥用打字:创建一个具有类似名称的包，但该包是恶意软件。
2. 恶意软件+有用的代码:库实际上提供了值，但也包含了一些恶意的东西。
3. 更新现有代码:攻击者可以访问现有的合法包，例如(1)查找某个维护人员的凭据(2)侵入包存储库本身(3)通过合法的“所有权转移”成为较小包的维护者。

对于Python，依赖关系通常在requirements.txt文件中显式地注明。我知道有两个工具可以分析这个问题：

• piprot：检查软件包是否过时
• safety：检查包是否在safety-db /已知的问题中

我也会对规模感兴趣，例如，我会考虑一些“保存”的东西，当它们来自大的、知名的公司(如谷歌、亚马逊)，或者属于较大的组织(scipy/numpy，Python软件基金会)，或者如果他们有很多关于Github的贡献者(也许还有明星/分叉)。我不知道把这些数字推高有多容易，但至少它会显示出一些活动)。

是否有一个工具可以检查一个requirements.txt (递归)和检查低参与度的项目，可能很容易获得恶意软件？

Answer 1

我个人没有发现任何开箱即用的解决方案是免费的。对于个人项目或本地项目，我使用https://snyk.io/test/。

我对他们有很好的经验，因为他们总是最新的。

Answer 2

我所有的github repos中都有requirements.txt文件，如果存在安全问题，GitHub会给您发电子邮件警告。(看来GitHub将扫描回购中任何地方的任何名为requirements.txt的文件)

依赖关系图还将显示一些信息。

正如前面的一位评论提到的synk是一个很好的工具，我发现对于python来说，pyup更好，因为它允许我发布扫描结果给任何人看。

希望这能有所帮助。