应使用 pip-audit 或 safety 的标准结构化输出(如 --format=json、--format=sarif)对接管理平台,避免终端日志或含 ansi 码的 json;通过 pip-compile 锁定依赖、分离 dev/production 文件、离线数据库及代理配置解决 ci 中扫描不稳定、网络失败和误报问题。

怎么把 Python 项目漏洞扫描结果喂给管理平台
核心是别自己造轮子——直接用 pip-audit 或 safety 的标准输出,配合平台支持的格式(通常是 JSON 或 SARIF)做桥接。多数漏洞管理平台(如 DefectDojo、Snyk API、JFrog Xray)不认原始终端日志,必须结构化。
常见错误现象:pip-audit -r requirements.txt 直接丢进平台报解析失败;safety check -r reqs.txt --json 输出里含 ANSI 颜色码导致 JSON 解析中断。
- 用
pip-audit --format=json(v2.5+),不是--json—— 旧参数名已废弃 -
safety check -r reqs.txt --json --no-color必须加--no-color,否则字段里混入\x1b[31m这类控制字符 - 如果平台只收 SARIF,用
pip-audit --format=sarif(需 pip-audit ≥ 2.6.0),别试图用 jq 手动转——字段语义和版本兼容性容易错
requirements.txt 动态生成导致扫描结果漂移
扫描结果不稳定,不是工具问题,大概率是依赖声明本身在变:比如用了 django>=4.2 这种宽松约束,CI 每次拉的 Django 小版本不同,漏洞条目就跳来跳去。
使用场景:CI 流水线每小时跑一次扫描,但漏洞数量忽高忽低,运营侧无法判断是否真修复了问题。
立即学习“Python免费学习笔记(深入)”;
华友协同办公管理系统(华友OA),基于微软最新的.net 2.0平台和SQL Server数据库,集成强大的Ajax技术,采用多层分布式架构,实现统一办公平台,功能强大、价格便宜,是适用于企事业单位的通用型网络协同办公系统。 系统秉承协同办公的思想,集成即时通讯、日记管理、通知管理、邮件管理、新闻、考勤管理、短信管理、个人文件柜、日程安排、工作计划、工作日清、通讯录、公文流转、论坛、在线调查、
- 扫描前先固化依赖:
pip-compile requirements.in --output-file=requirements.txt --upgrade,确保每次扫描基于同一份锁文件 - 别在
requirements.txt里留-e git+https://...这类可变源——扫描器会尝试解析,但多数平台不支持动态 Git commit 映射到 CVE - 如果必须支持可变依赖(如内部包),在调用扫描命令时加
--skip-editable(pip-audit支持),避免因路径不可达导致整个扫描中断
CI 中权限不足导致 pip-audit 失败
pip-audit 默认会联网查 PyPI 和 GitHub Advisory Database,CI 环境若禁外网或走代理,就会卡住或报 HTTPConnectionPool 错误,而不是明确提示网络问题。
错误信息典型表现:Failed to fetch advisory database: HTTPSConnectionPool(host='api.github.com', port=443): Max retries exceeded
- 提前下载离线数据库:
pip-audit --download-db生成pyproject-audit.db,CI 中用--db-path=./pyproject-audit.db指向它 - 若用企业私有 PyPI(如 Nexus),设置
PIP_INDEX_URL环境变量,但注意pip-audit不读这个——得用--index-url https://your-nexus/simple/显式传 - 代理配置要同时设
HTTPS_PROXY和NO_PROXY,漏掉NO_PROXY=localhost,127.0.0.1可能导致本地 DB 路径也被代理转发而超时
扫描结果里大量误报(如 dev-only 包被标高危)
像 pytest、mypy 这类只在开发期用的包,出现在生产环境漏洞报表里,既干扰判断,又可能触发误告警。根本原因是没区分运行时依赖和开发依赖。
性能影响:强行扫描所有包会多耗 3–5 秒(尤其带大量 extras 的项目),且增加平台存储冗余。
- 拆分依赖文件:
requirements.txt(运行时)和requirements-dev.txt(开发时),只对前者执行pip-audit - 用
pip-audit --require-hashes可跳过无哈希声明的包(通常就是未锁定的 dev 包),但前提是你的requirements.txt本身有 hash 行 - 如果项目用
pyproject.toml+poetry,别用poetry export -f requirements.txt导出全量——加--without-hashes --without-dev参数过滤掉开发依赖
真正难的是依赖关系链里的间接包:比如你没装 urllib3,但 requests 带进来一个旧版,它是否算“生产影响”得看调用路径。这时候不能只信扫描结果,得结合 pipdeptree --reverse --packages urllib3 确认上游是否真在运行时加载。









