【甲方安全建设】Python 项目静态扫描工具 Bandit 安装使用详细教程

一、工具简介

Bandit 是由Python官方推荐的静态代码分析工具（SAST），专为检测Python代码中的安全漏洞设计。它基于一组预定义的安全规则，能够扫描代码中潜在的风险点（如命令注入、敏感数据泄露、不安全的反序列化等），并提供详细的漏洞等级和修复建议。作为开源工具，Bandit支持与CI/CD流程集成，适合企业在开发阶段构建自动化安全检测体系，尤其适用于Python项目的安全左移建设。

二、工具特点

1.聚焦安全漏洞检测

• 内置超过60条安全规则，覆盖OWASP Top 10、CWE等常见风险（如B307-使用pickle反序列化、B605-subprocess命令注入）。
• 基于AST（抽象语法树）分析代码逻辑，无需运行程序即可发现潜在风险。

2.灵活的扫描配置

• 支持按严重等级（高/中/低）和可信度过滤结果，优先处理关键风险。
• 可通过配置文件（.bandit）自定义规则跳过、排除目录等，适配企业特定安全策略。