Solve bandit security issues

masterdatascience-UIMP-UC / predictaas-api-server

Sample code for the PredictaaS API use case from the Project Management course

GNU General Public License v3.0

0 stars 1 forks source link

Solve bandit security issues #20

Open orviz opened 2 years ago

orviz commented 2 years ago

#nosec flag can be used single lines of code
.bandit configuration file for additional customization (-c .bandit)
Installation: pip install bandit
Execution: bandit -c .bandit -r openapi_server tests
Skip B101: https://bandit.readthedocs.io/en/latest/plugins/b101_assert_used.html#b101-test-for-use-of-assert

pcalatayud-prog commented 2 years ago

@orviz Buenas Pablo.

Sigo pengandome con esto. No se porque, hoy me he puesto a mirarlo y mi archivo .bandit ha desaparecido [correción, no me aparecia porque al ser .bandit tengo que hacer ls -a para mostrar los archivos ocultos en linux... my bad].

Es importante en que directorio lo pongo o no importa si luego pongo el path en el fichero?

Después tengo que poner en el .bandit las excepciones al fichero tests\test_app_controller.py que es el único que tiene el B101.

Una vez que vea que no tengo ese error tengo que hacer un commit y pull request verdad?

Se me olvida algo?

Un saludo y gracias!

orviz commented 2 years ago

Hola @pcalatayud-prog

Es importante en que directorio lo pongo o no importa si luego pongo el path en el fichero?

sí es cierto que con la opción -c <path-a-bandit-file> vas a poder pasarle el path que quieras..de todas maneras ponlo en el root path del repo como recomiendan la documentación de bandit

Después tengo que poner en el .bandit las excepciones al fichero tests\test_app_controller.py que es el único que tiene el B101.

sí, sigue las instrucciones de la documentación para B101 y añade ese fichero de tests. Ten en cuenta que en Linux la barra es la contraria, es decir, tests/test_app_controller.py

Una vez que vea que no tengo ese error tengo que hacer un commit y pull request verdad? Se me olvida algo?

Eso es, el PR lo aprobamos una vez lo tengas

Un saludo!

pcalatayud-prog commented 2 years ago

@orviz Buenas Pablo,

He resuelto lo B101 con lo que me dijiste en clase. Pero no consigo resolver los B106 Tengo un B106 en openapi_server_init.py y otro en \xtests\conftest.py

He intentado resovlerlos añadiendo el #nosec al final de las lineas de donde saltaba el problema como se dice en la diapositiva 9 del documento SQA_and_DevOps_2.pdf pero me sigue saltando el bandit.

Como tendría que resolverlos?

Gracias por la ayuda,

Pablo

pcalatayud-prog commented 2 years ago

Buenas de nuevo,

He cambiado los string sensibles pass y ya no me dan errores.

Tengo mi branch con todos los cambios anadidos y el commit hecho pero al hacer el push estoy haciendo algo mal.

Te explico un poco lo que he hecho

git clone https://github.com/masterdatascience-UIMP-UC/predictaas-api-server
git checkout -b branc_pablo_bandit
Creo el .bandit y anado las especiones correspondientes.
Modifico los dos archivos con el problema B106 sustituyendo el string pass por el string word
Anado los 3 archivos modificados con git add
Hago el commit
Intento hacer el push pero no lo consigo. Al hacer git config --list veo mi usuario y mi token cargados asi que no creo que sea un problema de permisos.

Un saludo,

Pablo

orviz commented 2 years ago

Hola @pcalatayud-prog necesitaría ver el error que te da al hacer el push