守护你的代码安全（Python安全依赖检查入门教程）

什么是safety？

safety 是一个专为 Python 设计的命令行工具，用于检查项目依赖是否存在已知的安全漏洞。它会将你的依赖包与 Safety Database（由 pyup.io 维护的漏洞数据库）进行比对，并报告潜在风险。

为什么需要做Python依赖漏洞扫描？

现代 Python 项目通常通过 requirements.txt 或 Pipfile 管理依赖。如果某个依赖库发布了安全补丁，而你未及时更新，就可能引入安全隐患。定期执行 软件供应链安全 检查，是 DevSecOps 实践的重要一环。

安装safety

打开终端（Windows 用户可使用 PowerShell 或 CMD），运行以下命令安装 safety：

pip install safety

基本使用方法

假设你的项目根目录下有一个 requirements.txt 文件，你可以这样检查：

safety check -r requirements.txt

如果你使用的是虚拟环境并希望检查当前环境中所有已安装的包，可以省略文件参数：

safety check

解读输出结果

如果发现漏洞，safety 会输出类似以下的信息：

+==============================================================================+| REPORT                                                                       || checked 15 packages, using default DB                                        |+==============================================================================+| django < 3.2.13                                                              || fixed in 3.2.13, 4.0.3                                                       || Django before 3.2.13 and 4.x before 4.0.3 allows directory traversal via...   || --> found 3 vulnerable dependency                                            |+==============================================================================+

这表示你使用的 Django 版本存在目录遍历漏洞，建议升级到 3.2.13 或更高版本。

集成到CI/CD流程中

为了实现自动化安全防护，可将 safety 检查加入 GitHub Actions、GitLab CI 等持续集成流程。例如，在 GitHub Actions 中添加如下步骤：

- name: Install safety  run: pip install safety- name: Run safety check  run: safety check -r requirements.txt --exit-code

注意 --exit-code 参数：当发现漏洞时，命令会返回非零退出码，从而中断 CI 流程，防止带漏洞的代码被合并或部署。

小结

通过本教程，你应该已经掌握了如何使用 safety 工具进行 Python安全依赖检查。这项实践不仅能提升你的项目安全性，也是现代开发者必备的 软件供应链安全 技能。记住，安全不是一次性的任务，而应成为日常开发的一部分。

立即在你的下一个 Python 项目中尝试 safety工具使用 吧！定期运行 Python依赖漏洞扫描，让你的代码更安心。