python代码审计工具
CodeAuditor 是一个 Python 代码审计工具,能够遍历指定目录中的所有 Python 文件,并根据预设的规则库进行代码审计,最后生成审计报告。
本工具目前未提供安装包,你可以直接克隆代码库到本地使用。同时,你需要安装 tqdm 进度条库。
# 克隆代码库
git clone https://github.com/TTSecTeam/CodeAuditor.git
# 进入代码库目录
cd CodeAuditor
# 安装 tqdm
pip install tqdm
+------+ +----------------+ +------------------+ +----------------+ +-----+
| User | --> | Code Parser | --> | Rule Execution | --> | Report Generator| --> | CLI |
| | | (AST creation) | | Engine | | | | /UI |
+------+ +----------------+ +------------------+ +----------------+ +-----+
^
|
|
+----------------+
| Rule Library |
| (Plugin System)|
+----------------+
代码解析器(Code Parser):该模块的任务是接收输入(可能是一个文件,一个文件夹,甚至是一个git仓库),并将其中的Python代码转换为可供后续处理的形式。在Python中,通常可以通过使用ast库来解析代码,将代码转换为抽象语法树(AST)。
规则库(Rule Library):规则库包含了用于识别问题的所有规则。每个规则都会定义一种特定的问题类型,包括问题的描述、如何检测问题,以及可能的修复建议。规则可能需要查找特定类型的AST节点,或者分析节点的某些特性。
规则执行引擎(Rule Execution Engine):规则执行引擎会对每个规则进行遍历,对于每个规则,引擎会遍历AST的所有节点,查找匹配该规则的问题。对于每个找到的问题,引擎将创建一个报告,其中包含问题的位置,相关的规则,以及可能的修复建议。
报告生成器(Report Generator):报告生成器会收集规则执行引擎的所有报告,然后生成一个总的报告。这个报告可以以各种格式呈现,比如纯文本,HTML,或者JSON。报告中应该包含每个找到的问题的详细信息,以及整体的统计信息。
CLI/UI:用户需要一种方式来使用这个工具,这可能是一个命令行界面,或者一个更复杂的图形用户界面。这个界面需要让用户能够选择要检查的代码,选择要使用的规则,以及查看生成的报告。
插件系统(Plugin System):为了提高工具的可扩展性,可以添加一个插件系统,允许用户或第三方开发者添加自己的规则或修改现有规则。插件系统应该提供一个简单的API,让开发者能够方便地定义新的规则,包括问题的检测和修复。