Solve bandit security issues

[orviz]

• #nosec flag can be used single lines of code
• .bandit configuration file for additional customization (-c .bandit)
• Installation: pip install bandit
• Execution: bandit -c .bandit -r openapi_server tests
• Skip B101: https://bandit.readthedocs.io/en/latest/plugins/b101_assert_used.html#b101-test-for-use-of-assert

[pcalatayud-prog]

@orviz Buenas Pablo.

Sigo pengandome con esto. No se porque, hoy me he puesto a mirarlo y mi archivo .bandit ha desaparecido [correción, no me aparecia porque al ser .bandit tengo que hacer ls -a para mostrar los archivos ocultos en linux... my bad].

Es importante en que directorio lo pongo o no importa si luego pongo el path en el fichero?

Después tengo que poner en el .bandit las excepciones al fichero
tests\test_app_controller.py
que es el único que tiene el B101.

Una vez que vea que no tengo ese error tengo que hacer un commit y pull request verdad?

Se me olvida algo?

Un saludo y gracias!

[orviz]

Hola @pcalatayud-prog

Es importante en que directorio lo pongo o no importa si luego pongo el path en el fichero?

sí es cierto que con la opción -c <path-a-bandit-file> vas a poder pasarle el path que quieras..de todas maneras ponlo en el root path del repo como recomiendan la documentación de bandit

Después tengo que poner en el .bandit las excepciones al fichero tests\test_app_controller.py que es el único que tiene el
B101.

sí, sigue las instrucciones de la documentación para B101 y añade ese fichero de tests. Ten en cuenta que en Linux la barra es la contraria, es decir, tests/test_app_controller.py

Una vez que vea que no tengo ese error tengo que hacer un commit y pull request verdad?
Se me olvida algo?

Eso es, el PR lo aprobamos una vez lo tengas

Un saludo!

[pcalatayud-prog]

@orviz Buenas Pablo,

He resuelto lo B101 con lo que me dijiste en clase. Pero no consigo resolver los B106
Tengo un B106 en openapi_server_init.py y otro en \xtests\conftest.py

He intentado resovlerlos añadiendo el #nosec al final de las lineas de donde saltaba el problema como se dice en la diapositiva 9 del documento SQA_and_DevOps_2.pdf pero me sigue saltando el bandit.

Como tendría que resolverlos?

Gracias por la ayuda,

Pablo

[pcalatayud-prog]

Buenas de nuevo,

He cambiado los string sensibles pass y ya no me dan errores.

Tengo mi branch con todos los cambios anadidos y el commit hecho pero al hacer el push estoy haciendo algo mal.

Te explico un poco lo que he hecho

1. git clone https://github.com/masterdatascience-UIMP-UC/predictaas-api-server

2. git checkout -b branc_pablo_bandit

3. Creo el .bandit y anado las especiones correspondientes.

4. Modifico los dos archivos con el problema B106 sustituyendo el string pass por el string word

5. Anado los 3 archivos modificados con git add

6. Hago el commit

7. Intento hacer el push pero no lo consigo.
   Al hacer git config --list veo mi usuario y mi token cargados asi que no creo que sea un problema de permisos.

Un saludo,

Pablo

[orviz]

Hola @pcalatayud-prog necesitaría ver el error que te da al hacer el push