OpenSSF發布Python安全程式開發指南,可用於開發者培訓、資安研究與AI工具評測

來源: iThome | ID: 596 | URL: https://www.ithome.com.tw/news/176133 發布日期: 2026-05-26

原文摘要

OpenSSF 於 2026-05-12 發布《Python 安全程式開發指南》(Secure Coding Guide for Python, pyscg) 首版,涵蓋 9 大章節、超過 50 項規則,附可執行程式碼範例。

適用對象

對象用途
新進開發者建立安全程式開發基本觀念
資安研究人員觀察與理解 Python 弱點模式
開發團隊測試 LLM、靜態分析器等 AI 工具
教育工作者作為安全程式開發課程基礎教材

9大章節涵蓋主題

  • 信任邊界 (Trust Boundaries)
  • 硬編碼憑證 (Hardcoded Credentials)
  • 輸入正規化 (Input Canonicalization) 與數值處理 (Numeric Handling)
  • OS 命令注入 / SQL 注入 / 反序列化 / 路徑穿越
  • 例外處理、日誌記錄、並行處理、密碼學

每項規則包含

  • 風險說明
  • noncompliantXX.py — 反模式/漏洞示範
  • compliantXX.py — 修正方式
  • 對應 CWE 分類 + 實際 CVE 案例 + CVSS / EPSS 分數

重要觀點

靜態分析工具與 AI 輔助程式碼審查雖有助於找出問題,但無法涵蓋所有安全風險。

  • 採用 CVSS + EPSS 雙指標
  • 範例不只呈現有弱點的程式碼,也示範弱點如何被利用

衍生頁面