OpenSSF發布Python安全程式開發指南,可用於開發者培訓、資安研究與AI工具評測
來源: iThome | ID: 596 | URL: https://www.ithome.com.tw/news/176133 發布日期: 2026-05-26
原文摘要
OpenSSF 於 2026-05-12 發布《Python 安全程式開發指南》(Secure Coding Guide for Python, pyscg) 首版,涵蓋 9 大章節、超過 50 項規則,附可執行程式碼範例。
- 適用範圍: CPython 3.9+ 及標準函式庫(不依賴特定框架或第三方模組)
- 學習時間: 設計為可在 40 小時內完成自學
- 指南連結: https://best.openssf.org/Secure-Coding-Guide-for-Python/
適用對象
| 對象 | 用途 |
|---|---|
| 新進開發者 | 建立安全程式開發基本觀念 |
| 資安研究人員 | 觀察與理解 Python 弱點模式 |
| 開發團隊 | 測試 LLM、靜態分析器等 AI 工具 |
| 教育工作者 | 作為安全程式開發課程基礎教材 |
9大章節涵蓋主題
- 信任邊界 (Trust Boundaries)
- 硬編碼憑證 (Hardcoded Credentials)
- 輸入正規化 (Input Canonicalization) 與數值處理 (Numeric Handling)
- OS 命令注入 / SQL 注入 / 反序列化 / 路徑穿越
- 例外處理、日誌記錄、並行處理、密碼學
每項規則包含
- 風險說明
noncompliantXX.py— 反模式/漏洞示範compliantXX.py— 修正方式- 對應 CWE 分類 + 實際 CVE 案例 + CVSS / EPSS 分數
重要觀點
靜態分析工具與 AI 輔助程式碼審查雖有助於找出問題,但無法涵蓋所有安全風險。
- 採用 CVSS + EPSS 雙指標
- 範例不只呈現有弱點的程式碼,也示範弱點如何被利用
衍生頁面
- OpenSSF Python安全程式開發指南pyscg發布 — 核心概念頁面
- openssf — 發布組織