我不确定金字塔或任何Python应用程序是否是安全扫描程序的好目标。我正在阅读this list，我不确定这些问题是否适用于pythonweb应用程序。不过，这是个有趣的主意。在

像Pyramid这样的框架应该有安全的默认值，这样OWASP最常见的10个漏洞就不会出现在第一位。在

• 使用SQLALchemy或Django ORM可防止SQL注入

• 默认情况下，模板引擎执行安全的HTML转义

• 不安全的序列化（Python pickling）是不存在的，因为大多数代码使用JSON

• 我没见过有人用Python做eval()，但这并不意味着某个地方的某个可怜的灵魂不会做这件事

• 等等。

然而，新手程序员肯定会对这类问题束手无策，通过自动扫描程序捕捉手工编码的SQL字符串或eval()用法是有意义的。但我的直觉是，与各种Python web项目和安全性打交道超过10年，在Python世界中，情况更为稳定，使用安全扫描器获得的收益将非常小或根本不存在。在