文章目录safety-dbPython 包漏洞情报库1、 这是什么2、 为什么要用它3、 配套工具有哪些4、 怎么安装使用5、 授权方式safety-dbPython 包漏洞情报库pyupio/safety-db 在 GitHub 上有 786 Star。这是一个收录 Python 包已知安全漏洞的数据库由 pyup.io 维护每月同步一次更新。1、 这是什么它是一个纯数据仓库不直接执行扫描而是为安全工具提供漏洞情报。数据主要通过对 CVE 和变更日志进行关键词过滤再经人工复核后录入。覆盖范围是 Python 生态中已公开的包漏洞信息。2、 为什么要用它Python 项目依赖树动辄几十上百个包手动跟踪每个包的漏洞公告不现实。当你在生产环境运行 pip install 时可能已经引入了带有已知 CVE 的库。这个数据库把漏洞情报集中管理工具链可以直接查它。比如 Safety 命令行工具会拿本地 requirements 和它比对发现风险版本就报出来。Django 项目也能装个插件在管理后台看到当前版本是否有安全问题。数据是开源的不绑死商业服务。你可以直接 import 库里的 INSECURE 和 INSECURE_FULL 字典在自己的流程里用。3、 配套工具有哪些围绕这个数据库pyup.io 和社区搭了一套工具链Safety命令行工具扫虚拟环境和 requirements 文件Safety CIGitHub 集成检查提交和 Pull RequestSafety DjangoDjango 管理后台的安全状态提醒Safety BarmacOS 菜单栏应用pre-commit hook提交前自动检查依赖pipenv checkpipenv 内置的漏洞检测底层依赖 safety-db4、 怎么安装使用安装pipinstallsafety-db在代码里直接用fromsafety_dbimportINSECURE,INSECURE_FULLINSECURE 是简版只有包名和不安全版本列表。INSECURE_FULL 额外带了 CVE 描述和链接以及变更日志中的相关片段。如果想直接读原始数据仓库 data 目录下有两个 JSON 文件insecure.json包名和不安全版本列表insecure_full.json包含 CVE 描述、URL 和变更日志节选5、 授权方式数据库采用 CC BY-NC-SA 4.0 许可证。非商业项目可以自由使用只要注明来源。商业用途需要联系 pyup.io 获取授权。对于需要给 Python 项目做依赖安全检查的开发者这个库是一个可以直接接入的数据源。.io 获取授权。对于需要给 Python 项目做依赖安全检查的开发者这个库是一个可以直接接入的数据源。