为什么Python Web应用需要定期进行依赖包的安全漏洞扫描?

pip-audit是PyPA官方维护的轻量级依赖扫描工具,对接NVD和GitHub Advisory数据库,支持环境扫描、requirements.txt及pyproject.toml,输出CVE详情并可JSON集成CI。

因为不扫,你根本不知道自己正在用一个带后门的 requests 替身包,或者一个能被远程执行代码的 numpy 旧版本。

依赖包不是“装完就安全”的静态组件

Python项目里每个直接安装的包(比如 flaskdjango)背后都连着十几甚至上百个间接依赖。这些依赖不会主动告诉你它悄悄升级了、换人维护了、或被投毒了。一个 pip install 命令可能在你不知情时拉下恶意 setup.py 执行逻辑——比如那个名字只差一个数字的 reques7s

  • PyPI 允许任何人发布同名/近似名包,没有人工审核
  • 依赖树越深,手动审计越不可行;pipdeptree --warn fail 只能看出冲突,看不出漏洞
  • 很多 CVE 漏洞(如 Django < 4.2.10 的 XSS)只影响特定小版本,不扫描根本无法感知

pip-audit 是目前最轻量且可信的扫描入口

它由 PyPA 官方维护,直接对接 NVD 和 GitHub Security Advisory 数据库,不依赖商业订阅,也不需要你改代码或加装饰器。

Python 3.14.3

微软官方的 Python 扩展,是 VS Code 安装量最高的扩展(209M+)。集成 IntelliSense(通过 Pylance)、调试(通过 Python Debugger)、代码检查、格式化、重构和单元测试等功能。支持 Jupyter Notebook、虚拟环境管理和多 Python 版本切换。

  • 扫描当前环境所有已安装包:pip-audit
  • 只扫 requirements.txt 文件(推荐 CI 中使用):pip-audit -r requirements.txt
  • 输出含 CVE ID、严重等级和受影响版本范围,比如 PYSEC-2023-123 对应 requests==2.20.0
  • 支持 --json 输出,方便集成到 GitHub Actions 或 Jenkins 做门禁:高危漏洞自动阻断 PR 合并

safety 和 pip-audit 别混着用,尤其别信免费版 safety 的数据库

safety 的免费数据库(pyup.io)更新滞后,2025 年底起已不再同步 NVD 新增条目;而 pip-audit 默认使用 GitHub Advisory + PyPI 官方漏洞 API,覆盖更全、响应更快。

  • 如果你用 safety check --full-report 却没看到某个已知 CVE,大概率是数据库没同步,不是没漏洞
  • safety 不支持 pyproject.toml 中的依赖解析,遇到现代项目容易漏报
  • pip-audit 能处理 PEP 621 格式,也支持 poetry export -f requirements.txt 导出的锁定文件

真正容易被忽略的点是:扫描必须覆盖构建环境本身——CI 流程里用的 Python 镜像、预装的工具链(如 setuptoolswheel),也可能存在漏洞。别只盯着应用层依赖。

相关推荐:

如何在Python中使用asyncio.shield防止关键任务被取消?

asyncio.shield必须用于关键清理操作(如日志落盘、事务提交、连接关闭),防止被取消中断导致数据不一致;应只包裹协程本身(shield(coro)),而非Task,且内部子await需单独shield。 asyncio.shield什么时候必须用? 当一个asyncio.Task正在执行关...

为什么Python单例模式在多线程环境下会失效?

__new__中判空非原子操作会导致多线程重复创建实例;DCL通过无锁初判+加锁后复判解决,需配合__init__幂等防护。 __new__中的if判断不是原子操作 线程A执行到ifcls._instanceisNone时为True,刚准备调用super().__new__(cls),此时被调度挂起...

如何修复Python aiohttp请求时出现的ClientPayloadError?

ClientPayloadError表明服务端提前关闭连接,非客户端代码错误;常见于服务端超时、拒绝大响应或代理截断,需通过抓包、检查响应头、服务端日志及添加读取超时和异常处理来定位解决。 ClientPayloadError通常意味着服务端提前关闭了连接 这个错误不是客户端代码写错了,而是aioh...

为什么在大型Python项目中推荐使用Monorepo环境管理?

Monorepo是应对跨子包频繁修改、版本对齐成本高、CI耗时爆炸等痛点的止损方案;需统一依赖管理、确保本地与CI环境一致,并严守子包独立测试边界。 Monorepo不是“更先进”,而是对特定规模和协作模式的项目更可控——当Python项目中出现跨子包频繁修改、版本对齐成本高、CI耗时爆炸或本地开发...

为什么Python爬虫在解析复杂表格时推荐使用Pandas库?

pandas.read_html能自动解析HTML表格并修复合并单元格、多级表头等结构,但需合理配置match、header、skiprows等参数,并处理JS渲染、数据类型、空值等问题,否则易导致列错位、类型错误等隐患。 因为pandas.read_html能直接把HTML表格转成DataFram...

为什么在Python项目中推荐使用Poetry管理包依赖?

poetryinstall与pipinstall-rrequirements.txt的本质差异在于:前者是“解析后装”,基于poetry.lock中已验证的完整依赖图确保版本兼容并自动激活专属虚拟环境;后者是“盲装”,仅按文本顺序安装、不解析依赖冲突、不隔离环境,易导致静默覆盖和全局污染。 因为pi...