Python如何进行安全性测试集成_结合pytest与Bandit扫描代码

Bandit需通过subprocess.run集成到pytest中，用--quiet --format json调用并检查退出码：1表示安全问题（pytest.fail），2表示执行异常（pytest.skip）；路径用pathlib动态计算，避免CI环境差异。Bandit扫描结果怎么塞进pytest执行流程Bandit本身不提供pytest插件，直接集成需要靠命令行调用+退出码判断。核心思路是把bandit当做一个外部检查工具，在pytest中用subprocess.run触发，并根据返回值决定是否报错。别用os.system——无法捕获退出码，pytest会当成始终通过必须加-r参数指定扫描路径，否则默认只扫当前目录下*.py，容易漏掉子包建议加--quiet --format json，方便后续解析（虽然多数情况下你只需要看退出码）bandit返回非0表示发现中高危问题，默认就符合pytest失败逻辑；但要注意：它遇到IO错误（比如路径不存在）也返回2，这不属于安全问题，得单独过滤pytest里怎么让Bandit失败时不中断整个测试套件默认情况下，pytest运行一个失败的subprocess.run(..., check=True)会抛出CalledProcessError，导致该测试函数立即终止。但你通常希望：安全扫描失败只标记为“fail”，不影响其他单元测试运行。用subprocess.run(..., capture_output=True, text=True) + 显式检查result.returncode若returncode == 1（Bandit找到漏洞），用pytest.fail(result.stdout)主动报错若returncode == 2（Bandit自身出错），建议pytest.skip("Bandit执行异常: " + result.stderr)跳过，避免CI误判别把Bandit检查写在setup_module里——它会变成全局前置，一旦失败，所有测试都不跑如何避免Bandit误报干扰CI流水线Bandit对硬编码密码、eval、subprocess.Popen等敏感，但实际项目里常有合理使用场景（比如测试fixture里的临时密码、本地调试代码）。放任不管会导致CI频繁红，最后大家习惯性忽略。用# noqa: B101这类注释精准忽略单行（B101是assert误用检测），别用--skip全局关掉某类规则把例外规则写进bandit.yaml配置文件，再用bandit -c bandit.yaml -r .调用，比命令行参数更易维护CI里建议加--confidence high，过滤掉低置信度告警（Bandit默认报告medium及以上）注意Python版本兼容性：bandit 1.7+才较好支持3.11+语法，旧版可能直接报SyntaxError退出码2为什么Bandit和pytest共存时经常出现路径混乱最常见现象是本地能跑通，CI里提示No such file or directory: 'bandit'，或扫描路径总是错位——根本原因是环境隔离和工作目录不一致。 VWO 一个A/B测试工具