Bandit — SAST-сканер для Python от PyCQA (те же люди, что делают pylint и flake8). Парсит AST, ищет типичные дыры: eval(), хардкод паролей, слабая криптография, небезопасные temp-файлы.
➡️ Как работает
Каждый файл → AST → прогон плагинов по нодам → отчёт. У каждой находки два атрибута: severity (критичность) и confidence (уверенность, что это реальная проблема). Это помогает расставить приоритеты — сначала High/High, потом остальное.
Интеграция:
Есть официальный GitHub Action (
Для легаси-проектов: сохраняешь текущие находки в baseline, дальше CI показывает только новые. Старые никуда не деваются, но не блокируют билд.
➡️ Bandit vs Semgrep
🔘 Правила из коробки — Bandit 68, Semgrep 166 для Python
🔘 Скорость — Bandit быстрее на мелких репо, у Semgrep overhead на старте
🔘 Кастомные правила — у Semgrep проще (YAML), у Bandit нужно писать плагин
🔘 Точность — Bandit точнее на типовых паттернах, Semgrep гибче, но больше false positives
📎 Код на GitHub
@zen_of_python
Каждый файл → AST → прогон плагинов по нодам → отчёт. У каждой находки два атрибута: severity (критичность) и confidence (уверенность, что это реальная проблема). Это помогает расставить приоритеты — сначала High/High, потом остальное.
Интеграция:
# .pre-commit-config.yaml
repos:
- repo: https://github.com/PyCQA/bandit
rev: 1.7.5
hooks:
- id: bandit
args: ['-ll', '-ii']
Есть официальный GitHub Action (
PyCQA/bandit-action@v1) и расширение для VS Code.Для легаси-проектов: сохраняешь текущие находки в baseline, дальше CI показывает только новые. Старые никуда не деваются, но не блокируют билд.
@zen_of_python
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4