Herramienta para auditar los paquetes de Phython

Para identificar las vulnerabilidades la herramienta pip-audit accede a la base de datos de PyPI y el servicio OSV. Lo que le permite estar al día de todas las vulnerabilidades conocidas. Pudiendo auditar tanto entornos locales como archivos de requisitos.

Instalación de pip-audit y uso básico.

El proceso para instalar pip-audit en nuestros sistemas es habitual con los paquetes de PyPI. Solamente es necesario disponer de una versión de Phython 3.6 o posterior y ejecutar el siguiente comando

pip install pip-audit

Una vez hecho esto se podrá auditar los paquetes instalados en el sistema mediante el comando

pip-audit

Resultados de la autoría

Una vez finalizado el proceso de auditoría, el cual se puede demorar dependiendo de los paquetes instalados en la instalación de Python, este devolverá el número de vulnerabilidades encontradas y los paquetes en los que se ha encontrado. Puede ser mucho mayor el número de debilidades que el de paquetes debido a que grandes paquetes pueden contener varias. Además de lo anterior, también devuelve una lista con el nombre de los paquetes, la versión instalada, el identificador de la vulnerabilidad y, en el caso de que se hubiese solucionado el problema, la versión o versiones posteriores en las que ya no existe esta.

Actualización de los paquetes

Una vez identificados los paquetes con vulnerabilidades, salvo que existan incompatibilidades entre nuestro código u otros paquetes con las nuevas versiones, lo aconsejable será actualizar estos para evitar problemas. Para ello será necesario ejecutar pip install seguido del nombre del paquete con la opción --upgrade. Por ejemplo, para actualizar notebook será necesario escribir en la terminal

pip install notebook --upgrade

Lo que actualizará el paquete a la última versión disponible en PyPI. Aunque, si se desea instalar una versión en concreto del paquete también se puede hacer indicando esta de forma explícita

pip install 'notebook==6.1.5' --force-reinstall