Simon Willison új eszköze kimutatja a Python csomagok biztonsági réseit
Több mint 1200 Python csomag érintett, a biztonsági réseket az OSV.dev adatbázis segítségével azonosítja.
Simon Willison bemutatta új, webalapú eszközét, a Python Vulnerability Lookup‑t, amely a Python csomagok biztonsági réseit az OSV.dev adatbázis alapján keres. A felhasználó egyszerűen beillesztheti a pyproject.toml vagy requirements.txt fájlját, vagy megadhat egy GitHub repository nevét, és az eszköz lekérdezi az OSV.dev CORS engedélyezett JSON API-ját, majd megjeleníti a talált sérülékenységeket részletesen: súlyossági szint, érintett verziók, és linkek a teljes jelentésekhez.
A fejlesztés során Willison megfigyelte, hogy az OSV.dev nyílt forrású adatbázis rendelkezik egy jól dokumentált API-val, amely lehetővé teszi a programok számára, hogy valós időben lekérdezzék a sérülékenységeket. A Python közösségben több mint 1200 csomag jelent meg, amelyeket a rendszer mostantól gyorsan ellenőrizhetővé tesz.
Az eszköz működését Claude Code segítségével fejlesztették ki, HTML‑ben, hogy a felhasználók könnyedén beilleszthessék a fájlokat vagy repo neveket, és azonnal láthassák a sérülékenységek listáját. A megjelenített adatok tartalmazzák a CVSS pontszámot, a befolyásolt verziók tartományát és a hivatalos jelentésekhez vezető linkeket.
Willison szerint a Python csomagok biztonsági ellenőrzése kulcsfontosságú a szoftverellátási lánc védelmében, és a tool segít a fejlesztőknek gyorsan felismerni és javítani a hibákat. A csomagok közötti függőségek komplexitása miatt a manuális ellenőrzés gyakran időigényes, míg a webes eszköz egyetlen kattintással összes sérülékenységet feltérképez.
Az eszköz már most elérhető a Simon Willison blogján, és a jövőben tervezik a GitHub Actions integrációt, amely automatikusan futtatná a vizsgálatot CI folyamatok során.