您当前的位置:首页 > 电脑百科 > 程序开发 > 编程百科

开发安全、高质量代码的 5 款顶级 Python 工具

时间:2020-03-15 14:09:09  来源:  作者:

开发安全、高质量代码的 5 款顶级 Python 工具

原创 InfoQ 2020-03-12 16:12:50
开发安全、高质量代码的 5 款顶级 Python 工具

 

为提高代码的质量、安全性和可维护性,软件工程师每天会用到无数工具。

我会列出一些自己最喜欢的 python 工具,并从易用性(是否易于安装、运行和自动化)、质量影响(能否阻止可预见的 bug)、可维护性影响(是否让工作更轻松)和安全性影响(能否发现并阻止安全性问题)对它们进行打分,以供读者参考。

并且,我还将介绍如何将这些工具全包含进 CI pipeline,从而实现自动化和高效。

1.Pipenv

它是为Python 设计的开发管理和依赖管理的工具,最早由 Requests 的作者 Kenneth Reitz 编写。

如果你用 python 做过一段时间的开发,那么管理环境,你可能用过 virtualenv 或 venv ;依赖管理可能用过较可靠的pip freeze > requirements.txt。

大多数情况下,这完全没问题。但是,我发现 pipenv 更方便,且很强大,加上它通过Pipfile和Pipfile.lock近乎去掉固定依赖的做法,很大程度上替代了requirements.txt,从而带来更可靠的部署。

不过,我对 pipenv 的未来有点担忧,因为 Python 基金会已搁置对 pip 的改进。而且,pipenv 在 2019 年缺乏实质性进展。但是,我仍然认为,对大多数 python 用户来说,pipenv 是绝佳的工具。

官网下载地址

月下载量: 2111976

备选方案: poetry 、 virtualenv 、 venv

开发安全、高质量代码的 5 款顶级 Python 工具

 

2.Ochrona

这里,我有点私心,因为 Ochrona 是我积极开发并希望 2020 年发布的工具。不过,我还会介绍这个工具的替代方案。

Ochrona 是一款依赖分析和软件组成分析的工具,它可以用来检查你的开源依赖是否存在已知漏洞。这个领域,另一款很流行的开源工具是 pyup.io 的 Safety 。

我认为,Ochrona 比 Safety 更好的地方在于:

  1. 无论是用于开源项目还是商业项目,它都提供免费方案,而且免费方案始终跟进最新的漏洞信息。
  2. 磁盘和 IO 使用非常少。不同于需要拉取整个漏洞数据库的本地工具,它是 SaaS 模式,只需调用一次公开的 API。
  3. 它提供优秀的漏洞数据并且每天更新,并比其他工具提供更多的漏洞详细信息,包括免费用户。

官网下载地址

月下载量: 尚未发布

备选方案: safety 、 snyk (收费)

开发安全、高质量代码的 5 款顶级 Python 工具

 

3.Bandit

如果必须推荐一个可提高 python 项目安全性的工具,那我推荐 Bandit 。

据悉,Bandit 出自 OpenStack,但现在由 PyCQA 维护。它是一款开源的 SAST(静态应用安全测试)工具,免费、可配置且快速。从某些方面来讲,它就像是关注安全领域的 linter。

Bandit 很适合用来发现问题,比如不安全的配置、已知的不安全模块使用情况等。

官网下载地址

月下载量: 575101

备选方案: pyre 、 pyt 、 dodgy

开发安全、高质量代码的 5 款顶级 Python 工具

 

4.Black

Black 是一款独特的代码格式化工具。它能自动将你的代码更正为 Black 样式(一个 Pep-8 的超集)。

传统的 linter 通常需要你把代码改为合规代码,而 Black 可以节省不少时间。并且,Black 只需有限的配置,这意味着你如果用过 Black,其他任何项目你都会觉得眼熟。

官网下载地址

月下载量: 1891711

备选方案:flake8、pylint

开发安全、高质量代码的 5 款顶级 Python 工具

 

5.Mypy

它是python 一个可选的静态类型检查器。 PEP 484 引入 python 的类型提示,Mypy 则利用这些类型提示对项目进行静态类型检查。

Python 依然有动态的 duck 类型,不过,添加静态类型检查能帮你减少测试和调试时间,更早发现错误。

目前,大公司也在跟进 python 的静态类型检查。在 Guido van Rossum 任职期间,Dropbox 用 Mypy 检查了 400 多万行代码。其他的 python 用户,比如 Instagram 也开始做静态类型检查。

官网下载地址

月下载量: 2487228

备选方案: pyre

开发安全、高质量代码的 5 款顶级 Python 工具

 

全部集成到一起

这个例子种,我会用到 Travis-CI ,配置其他 CI 工具的过程与之类似相似,只是语法上会有差异。这里,我用一个简单、不安全且有问题的 flask 应用作为例子。

App.py文件如下:

复制代码

from flask import Flask 	 app = Flask(__name__) 	@app.route('/<name>') def hello_world(name: str) -> str: 	return hello_name(name)def hello_name(name: str) -> int:	return f"hello, {name}"	if __name__ == '__main__': 	app.run(debug=True)

Pipfile如下:

复制代码

[[source]]name = "pypi"url = "https://pypi.org/simple"verify_ssl = true[dev-packages]bandit = "*"v = {editable = true,version = "*"}black = "*"mypy = "*"ochrona = "*"[packages]flask = "==0.12.2"[requires]python_version = "3.7"

最后在根目录下创建一个.travis.yml文件,内容如下:

复制代码

language: pythonpython:  - 3.7install:  - pip install -U pip  - pip install pipenv  - pipenv install --devscript:  - bandit ./*  - black --check .  - ochrona  - mypy .

如果查看这里的构建,你会发现每个工具都标出错误或指出需修改的地方。那么,我们来做一些修正,如这个 PR 所示,构建就可以通过。

开发安全、高质量代码的 5 款顶级 Python 工具

 

将 Flask 升级到一个没有已知漏洞的版本

开发安全、高质量代码的 5 款顶级 Python 工具

 

修复类型注释,禁用调试模式,规范格式

虽然这个例子只涉及一个 CI 平台,但其实和集成到其他大多数平台的方法都很相似。

下面是一个总的评分表:

开发安全、高质量代码的 5 款顶级 Python 工具

 

 


 


Tags: Python   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
Python 是一个很棒的语言。它是世界上发展最快的编程语言之一。它一次又一次地证明了在开发人员职位中和跨行业的数据科学职位中的实用性。整个 Python 及其库的生态系统使...【详细内容】
2021-12-27  Tags: Python  点击:(2)  评论:(0)  加入收藏
近日只是为了想尽办法为 Flask 实现 Swagger UI 文档功能,基本上要让 Flask 配合 Flasgger, 所以写了篇 Flask 应用集成 Swagger UI 。然而不断的 Google 过程中偶然间发现了...【详细内容】
2021-12-23  Tags: Python  点击:(6)  评论:(0)  加入收藏
运行环境 如何从 MP4 视频中提取帧 将帧变成 GIF 创建 MP4 到 GIF GUI ...【详细内容】
2021-12-22  Tags: Python  点击:(6)  评论:(0)  加入收藏
迭代1.1 迭代的概念使用for循环遍历取值的过程叫做迭代,比如:使用for循环遍历列表获取值的过程for value in [2, 3, 4]:print(value) 1.2 可迭代对象标准概念:在类里面定义__it...【详细内容】
2021-12-15  Tags: Python  点击:(20)  评论:(0)  加入收藏
内置函数就是Python给你提供的,拿来直接用的函数,比如print.,input等。截止到python版本3.6.2 ,python一共提供了68个内置函数,具体如下...【详细内容】
2021-12-07  Tags: Python  点击:(25)  评论:(0)  加入收藏
每天你都可能会执行许多重复的任务,例如阅读 pdf、播放音乐、查看天气、打开书签、清理文件夹等等,使用自动化脚本,就无需手动一次又一次地完成这些任务,非常方便。而在某种程度...【详细内容】
2021-12-02  Tags: Python  点击:(15)  评论:(0)  加入收藏
一窥开源 Python 项目保持平稳运行的社区幕后。Jannis Leidel 是 Jazzband社区的一部分。Jazzband 是一个协作社区,共同承担维护基于Python的项目。Jazzband 的诞生源于长期...【详细内容】
2021-06-29  Tags: Python  点击:(111)  评论:(0)  加入收藏
常用库 Chardet字符编码探测器,可以自动检测文本、网页、xml的编码。 colorama主要用来给文本添加各种颜色,并且非常简单易用。 Prettytable主要用于在终端或浏览器端构建格式化的输出。 difflib,[Python]标准库,计算...【详细内容】
2021-05-24  Tags: Python  点击:(207)  评论:(0)  加入收藏
在本教程中,教你如何设置和使用 Pythonic 来编程。它是一个图形化编程工具,用户可以很容易地使用现成的函数模块创建 Python 程序。然而,不像纽约证券交易所这样的传统证券交易...【详细内容】
2021-03-31  Tags: Python  点击:(344)  评论:(0)  加入收藏
本文旨在讲解如何在Android平板或手机上搭建Python开发环境,帮助Python初学者有效利用碎片化时间进行学习,从而达到良好的学习效果。对于大部分初学Python的人来说,由于工作、...【详细内容】
2021-03-24  Tags: Python  点击:(381)  评论:(0)  加入收藏
▌简易百科推荐
本文分为三个等级自顶向下地分析了glibc中内存分配与回收的过程。本文不过度关注细节,因此只是分别从arena层次、bin层次、chunk层次进行图解,而不涉及有关指针的具体操作。前...【详细内容】
2021-12-28  linux技术栈    Tags:glibc   点击:(3)  评论:(0)  加入收藏
摘 要 (OF作品展示)OF之前介绍了用python实现数据可视化、数据分析及一些小项目,但基本都是后端的知识。想要做一个好看的可视化大屏,我们还要学一些前端的知识(vue),网上有很多比...【详细内容】
2021-12-27  项目与数据管理    Tags:Vue   点击:(2)  评论:(0)  加入收藏
程序是如何被执行的&emsp;&emsp;程序是如何被执行的?许多开发者可能也没法回答这个问题,大多数人更注重的是如何编写程序,却不会太注意编写好的程序是如何被运行,这并不是一个好...【详细内容】
2021-12-23  IT学习日记    Tags:程序   点击:(9)  评论:(0)  加入收藏
阅读收获✔️1. 了解单点登录实现原理✔️2. 掌握快速使用xxl-sso接入单点登录功能一、早期的多系统登录解决方案 单系统登录解决方案的核心是cookie,cookie携带会话id在浏览器...【详细内容】
2021-12-23  程序yuan    Tags:单点登录(   点击:(8)  评论:(0)  加入收藏
下载Eclipse RCP IDE如果你电脑上还没有安装Eclipse,那么请到这里下载对应版本的软件进行安装。具体的安装步骤就不在这赘述了。创建第一个标准Eclipse RCP应用(总共分为六步)1...【详细内容】
2021-12-22  阿福ChrisYuan    Tags:RCP应用   点击:(7)  评论:(0)  加入收藏
今天想简单聊一聊 Token 的 Value Capture,就是币的价值问题。首先说明啊,这个话题包含的内容非常之光,Token 的经济学设计也可以包含诸多问题,所以几乎不可能把这个问题说的清...【详细内容】
2021-12-21  唐少华TSH    Tags:Token   点击:(10)  评论:(0)  加入收藏
实现效果:假如有10条数据,分组展示,默认在当前页面展示4个,点击换一批,从第5个开始继续展示,到最后一组,再重新返回到第一组 data() { return { qList: [], //处理后...【详细内容】
2021-12-17  Mason程    Tags:VUE   点击:(14)  评论:(0)  加入收藏
什么是性能调优?(what) 为什么需要性能调优?(why) 什么时候需要性能调优?(when) 什么地方需要性能调优?(where) 什么时候来进行性能调优?(who) 怎么样进行性能调优?(How) 硬件配...【详细内容】
2021-12-16  软件测试小p    Tags:性能调优   点击:(20)  评论:(0)  加入收藏
Tasker 是一款适用于 Android 设备的高级自动化应用,它可以通过脚本让重复性的操作自动运行,提高效率。 不知道从哪里听说的抖音 app 会导致 OLED 屏幕烧屏。于是就现学现卖,自...【详细内容】
2021-12-15  ITBang    Tags:抖音防烧屏   点击:(25)  评论:(0)  加入收藏
11 月 23 日,Rust Moderation Team(审核团队)在 GitHub 上发布了辞职公告,即刻生效。根据公告,审核团队集体辞职是为了抗议 Rust 核心团队(Core team)在执行社区行为准则和标准上...【详细内容】
2021-12-15  InfoQ    Tags:Rust   点击:(25)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条