OpenSSF Python安全程式開發指南pyscg發布

OpenSSF 於 2026-05-12 發布《Python 安全程式開發指南》(Secure Coding Guide for Python,pyscg)首版。

核心特色

章節主題

  • 信任邊界、硬編碼憑證、輸入正規化、數值處理
  • OS命令注入、SQL注入、反序列化、路徑穿越
  • 例外處理、日誌記錄、並行處理、密碼學

用途

  1. 開發者培訓:新進開發者建立安全程式開發基本觀念
  2. 資安研究:觀察 Python 弱點模式
  3. AI工具評測:測試LLM、靜態分析器的程式碼審查能力

重要觀察

AI輔助程式碼審查雖有助於找出問題,但無法涵蓋所有安全風險

  • 每項規則附對應 CWE 分類 + 實際 CVE 案例 + CVSS / EPSS 分數
  • 採用 CVSS(嚴重程度)+ EPSS(實際被利用可能性)雙指標

關聯背景

  • OpenSSF 同期指出約 30% Linux漏洞通報為重複案例,疑與AI工具普及有關
  • 本指南部分目標即為評測AI工具在安全程式碼審查方面的能力

來源文章

相關頁面