Analytics Lane

Ciencia e ingeniería de datos aplicada

Herramienta para auditar los paquetes de Phython

Por Deja un comentario
Tiempo de lectura: 2 minutos

Noticias

A principios de este mes se ha publicado en PyPi una nueva herramienta (pip-audit) para auditar los paquetes de Python en búsqueda de vulnerabilidades conocidas. Un proyecto que se ha desarrollado por Trail of Bits con el apoyo de Google. Una buena noticia después de que se hubiese publicado recientemente la existencia de varios paquetes con código maliciosos en PyPI [junio 2021, agosto 2021, noviembre 2021].

Para identificar las vulnerabilidades la herramienta pip-audit accede a la base de datos de PyPI y el servicio OSV. Lo que le permite estar al día de todas las vulnerabilidades conocidas. Pudiendo auditar tanto entornos locales como archivos de requisitos.

Instalación de pip-audit y uso básico.

El proceso para instalar pip-audit en nuestros sistemas es habitual con los paquetes de PyPI. Solamente es necesario disponer de una versión de Phython 3.6 o posterior y ejecutar el siguiente comando

pip install pip-audit

Una vez hecho esto se podrá auditar los paquetes instalados en el sistema mediante el comando

pip-audit

Publicidad


Resultados de la autoría

Una vez finalizado el proceso de auditoría, el cual se puede demorar dependiendo de los paquetes instalados en la instalación de Python, este devolverá el número de vulnerabilidades encontradas y los paquetes en los que se ha encontrado. Puede ser mucho mayor el número de debilidades que el de paquetes debido a que grandes paquetes pueden contener varias. Además de lo anterior, también devuelve una lista con el nombre de los paquetes, la versión instalada, el identificador de la vulnerabilidad y, en el caso de que se hubiese solucionado el problema, la versión o versiones posteriores en las que ya no existe esta.

Probabilidades y tests: por qué un resultado positivo no significa lo que crees
En Analytics Lane
Probabilidades y tests: por qué un resultado positivo no significa lo que crees

Actualización de los paquetes

Una vez identificados los paquetes con vulnerabilidades, salvo que existan incompatibilidades entre nuestro código u otros paquetes con las nuevas versiones, lo aconsejable será actualizar estos para evitar problemas. Para ello será necesario ejecutar pip install seguido del nombre del paquete con la opción --upgrade. Por ejemplo, para actualizar notebook será necesario escribir en la terminal

pip install notebook --upgrade

Lo que actualizará el paquete a la última versión disponible en PyPI. Aunque, si se desea instalar una versión en concreto del paquete también se puede hacer indicando esta de forma explícita

pip install 'notebook==6.1.5' --force-reinstall

Imagen de Michael Gaida en Pixabay

¿Te ha parecido de utilidad el contenido?

¡Puntúalo entre una y cinco estrellas!

Puntuación promedio 0 / 5. Votos emitidos: 0

Ya que has encontrado útil este contenido...

¡Síguenos en redes sociales!

¡Siento que este contenido no te haya sido útil!

¡Déjame mejorar este contenido!

Dime, ¿cómo puedo mejorar este contenido?

Publicidad


Publicaciones relacionadas

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

I accept the Terms and Conditions and the Privacy Policy

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.