Ich behebe derzeit die Schwachstelle Pandas DataFrame.query() Code Injection, die die Ausführung willkürlichen Codes ermöglicht, wenn unsichere Benutzereingaben von der .query()-Methode verarbeitet werden. Ich verstehe, dass dieses Problem auftritt, weil die query()-Methode Ausdrücke im Kontext des DataFrame ausführen kann, was möglicherweise zu Sicherheitsrisiken führt.
Meine Fragen lauten wie folgt:
- Sollte ich die Schwachstelle manuell patchen?
Zum Beispiel kann ich die query()-Methode in überschreiben den Pandas-Quellcode, um Ausdrücke mit dem ast-Modul von Python zu validieren und unsichere Konstrukte zu blockieren. Ist dies ein empfohlener Ansatz oder birgt er potenzielle Risiken (z. B. Beeinträchtigung der Funktionalität, langfristige Aufrechterhaltung des Patches)?
- Wie Veröffentlicht das Pandas-Team häufig Updates oder Patches für Schwachstellen wie diese?
Soll ich auf ein offizielles Update warten, um dieses Problem zu beheben? Gibt es Best Practices für die Überwachung, wenn ein Fix verfügbar wird?
- Was ist die allgemeine Vorgehensweise zur Behebung solcher Schwachstellen auf Bibliotheksebene in der Produktion? Umgebungen?
Ist es besser, vorübergehende Abhilfemaßnahmen anzuwenden (z. B. die Validierung von Eingaben in meinem Anwendungscode) und auf die Bibliotheksbetreuer zu warten, oder sollte ich einen Fork/Patch durchführen? die Bibliothek zur sofortigen Lösung?
Irgendwelche Einblicke, insbesondere von Personen mit Erfahrung in der Wartung sicherer Python-Anwendungen, wären sehr dankbar!
Mobile version