私はDjangoをかなり新しくしていますので、これが明らかであれば事前にお詫びください。Python/DjangoはRails bundler-auditに相当しますか?
Railsプロジェクトでは、bundler-auditという名前の宝石を使用して、インストールしている宝石のパッチレベルにセキュリティ上の脆弱性がないことを確認します。通常は、bundler-auditをCIパイプラインに組み込んで、展開するたびに宝石にセキュリティ上の脆弱性があると警告を出します。
Pythonパッケージの脆弱性をチェックするための同様のシステムはありますか?
この質問を書き留めた後、私はもう少し調べて、Safetyを見つけました。これはまさに私が探していたものでした。
誰がDjangoプロジェクトのためCircleCIを設定し、脆弱性のために彼らのパッケージをチェックしたい場合には、ここで私は私の.circleci/config.ymlに使用される構成は次のとおりです。
version: 2
jobs:
build:
# build and run tests
safety_check:
docker:
- image: circleci/python:3.6.1
steps:
- checkout
- run:
command: |
python3 -m venv env3
. env3/bin/activate
pip install safety
# specify requirements.txt
safety check -r requirements.txt
merge_master:
# merge passing code into master
workflows:
version: 2
test_and_merge:
jobs:
- build:
filters:
branches:
ignore: master
- safety_check:
filters:
branches:
ignore: master
- merge_master:
filters:
branches:
only: develop
requires:
- build
# code is only merged if safety check passes
- safety_check
これが機能することを確認するには、pip install insecure-package && pip freeze > requirements.txtを実行しますサークルが失敗するのを押して監視します。