用于检查具有高熵(可能是硬编码秘密)的字符串的bandit插件。
bandit-high-entropy-string的Python项目详细描述
#bandit高熵字符串
查找高熵硬编码字符串(机密)的bandit插件。
此插件公开了四个新测试:
>1。*高熵赋值:检查赋值语句中的机密:`target=`candidate`
2。*高熵函数:检查函数参数中的秘密:`caller('candidate',target='candidate'):`
3。*高熵函数定义:检查函数定义中的秘密:`def caller('candidate',target='candidate'):`
4。*高熵:检查iterable(列表、元组、dict)中的秘密:`['candidate',
'candidate']或('candidate','candidate')或{'target':'candidate'}`
igher):
`` bash
virtuallenv venv
source venv/bin/activate
pip install bandit
`` ` `
>然后你可以安装插件:
` ` ` `` bash
` ` ` ` ` ` bash安装bandit高熵字符串
` ` ` ` `
` ` ` ` ` ` ` ` ` ` ` `
` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` `>```yaml
向后压缩使用配置文件的适应性配置(仅当您以前使用过配置文件并且需要保持兼容性时才需要)
配置文件:
秘密:
包括:
-高熵分配
-高熵函数
-高熵函数
-高熵函数
包括新版本的bandit
测试:
高熵函数
-bhes100
高熵函数
-bhes101
/>```
配置对于每个测试(可以为四个测试中的每一个配置)
##运行测试
要运行测试,请针对您的代码库调用bandit,指定配置文件:
```````
>$bandit-r./myapplication
`````
`贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献第页参与者同意遵守其条款。
请[访问我们的cla
服务](https://oss.lyft.com/cla)
按照说明签署cla。
如果候选对象的置信度大于0,则会报告。我们根据标准轻推置信度和严重度:
1。标记(熵模式到标记)。与此
列表中的任何正则表达式匹配的任何候选都会自动标记为置信度/严重度3/3。如果你确实知道有秘密的模式是秘密,就在这里加上它们。折扣(熵模式折扣)。与
此列表中的正则表达式匹配的任何候选项都将被折扣。如果候选匹配此
列表中的多个regex,则可能会进一步折扣。此折扣用于置信度
计算。
3。秘密暗示(低秘密暗示,高秘密暗示)。如果任何目标或调用方
与这些列表中的正则表达式匹配,则它将用作
候选项是机密的提示。此提示用于置信度和严重性
cal文化。低密提示会导致较低的置信度增加,
高密提示会导致较高的置信度增加。
4.安全功能(安全功能提示)。任何具有与此列表中的任何字符串匹配的调用方的候选人都将被打折。这在
置信度计算中使用。
5.熵。如果一个候选者的置信水平可以通过
一个字符串级的熵来更精确地衡量,我们计算它,如果字符串具有高的
熵,它的置信水平就会增加。如果可能的话,这种计算就可以避免,因为它相对昂贵。
我们希望得到一些帮助:
1.帮助处理折扣regex列表。列表中的正则表达式常常匹配得太多,而且没有足够的正则表达式匹配常见的python字符串。
2。帮助使用安全函数列表(以及我们匹配安全函数的方式)。
有很多python函数很少包含机密,但通常包含高熵字符串。我们目前没有很好地识别这些函数
调用,这会导致更高的噪声。添加和改进字符串捕获。我们目前没有在as t中捕获所有可用的字符串,对于某些字符串捕获,我们没有尽可能有效地捕获它们。例如,使用dicts,我们捕获如下信息:
{target':'candidate'},但不捕获:{target':'target':'candidate'},
,这可能会导致更好的分类。
查找高熵硬编码字符串(机密)的bandit插件。
此插件公开了四个新测试:
>1。*高熵赋值:检查赋值语句中的机密:`target=`candidate`
2。*高熵函数:检查函数参数中的秘密:`caller('candidate',target='candidate'):`
3。*高熵函数定义:检查函数定义中的秘密:`def caller('candidate',target='candidate'):`
4。*高熵:检查iterable(列表、元组、dict)中的秘密:`['candidate',
'candidate']或('candidate','candidate')或{'target':'candidate'}`
igher):
`` bash
virtuallenv venv
source venv/bin/activate
pip install bandit
`` ` `
>然后你可以安装插件:
` ` ` `` bash
` ` ` ` ` ` bash安装bandit高熵字符串
` ` ` ` `
` ` ` ` ` ` ` ` ` ` ` `
` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` `>```yaml
向后压缩使用配置文件的适应性配置(仅当您以前使用过配置文件并且需要保持兼容性时才需要)
配置文件:
秘密:
包括:
-高熵分配
-高熵函数
-高熵函数
-高熵函数
包括新版本的bandit
测试:
高熵函数
-bhes100
高熵函数
-bhes101
/>```
配置对于每个测试(可以为四个测试中的每一个配置)
##运行测试
要运行测试,请针对您的代码库调用bandit,指定配置文件:
```````
>$bandit-r./myapplication
`````
`贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献贡献第页参与者同意遵守其条款。
请[访问我们的cla
服务](https://oss.lyft.com/cla)
按照说明签署cla。
如果候选对象的置信度大于0,则会报告。我们根据标准轻推置信度和严重度:
1。标记(熵模式到标记)。与此
列表中的任何正则表达式匹配的任何候选都会自动标记为置信度/严重度3/3。如果你确实知道有秘密的模式是秘密,就在这里加上它们。折扣(熵模式折扣)。与
此列表中的正则表达式匹配的任何候选项都将被折扣。如果候选匹配此
列表中的多个regex,则可能会进一步折扣。此折扣用于置信度
计算。
3。秘密暗示(低秘密暗示,高秘密暗示)。如果任何目标或调用方
与这些列表中的正则表达式匹配,则它将用作
候选项是机密的提示。此提示用于置信度和严重性
cal文化。低密提示会导致较低的置信度增加,
高密提示会导致较高的置信度增加。
4.安全功能(安全功能提示)。任何具有与此列表中的任何字符串匹配的调用方的候选人都将被打折。这在
置信度计算中使用。
5.熵。如果一个候选者的置信水平可以通过
一个字符串级的熵来更精确地衡量,我们计算它,如果字符串具有高的
熵,它的置信水平就会增加。如果可能的话,这种计算就可以避免,因为它相对昂贵。
我们希望得到一些帮助:
1.帮助处理折扣regex列表。列表中的正则表达式常常匹配得太多,而且没有足够的正则表达式匹配常见的python字符串。
2。帮助使用安全函数列表(以及我们匹配安全函数的方式)。
有很多python函数很少包含机密,但通常包含高熵字符串。我们目前没有很好地识别这些函数
调用,这会导致更高的噪声。添加和改进字符串捕获。我们目前没有在as t中捕获所有可用的字符串,对于某些字符串捕获,我们没有尽可能有效地捕获它们。例如,使用dicts,我们捕获如下信息:
{target':'candidate'},但不捕获:{target':'target':'candidate'},
,这可能会导致更好的分类。
欢迎加入QQ群-->: 979659372
