PIPの脆弱性管理 現在システム全体の残留脆弱性の一覧化の方法を整理しています。 その際の基礎調査として、pip編です。 Vulsなどでは利用しているOSの標準レポジトリから導入したpackage情報はきれいに引き抜いてくれるのですが、pipで導入したものや、非標準のレポジトリ(各ソフトウェアベンダが独自に用意しているレポジトリ)から導入したパッケージ分はサーチしてくれません(2023/4現在)。 ということで、pip用の調べ方を整理します。 PIPの脆弱性検索方針 pip freezeなどで得られる情報から、なんとかモジュール情報をCPEに変換して検索する、というのを考えていました。 一方、ググっていたら独自にPVEという脆弱性番号を裁判してガッツリ活動されているpyup社のSafetyというツールも見つけました。 この両者を比較しながら、今回の残留是弱製情報の一覧化に使う方法を整理して
![CVE情報調査 pip編 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/b7e1fcfe400b74507bfded05ffaab6a09a9e7e2d/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9Q1ZFJUU2JTgzJTg1JUU1JUEwJUIxJUU4JUFBJUJGJUU2JTlGJUJCJTIwcGlwJUU3JUI3JUE4JnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmdHh0LWNsaXA9ZWxsaXBzaXMmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz00YmJjNmIzZWJhNmZmOGI3ZDdjMzg3ZDAwZWQ1YzE2NQ%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTcxNiZ0eHQ9JTQwbmZ3b3JrMDEmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zMiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPThjZGEzZmM5YjJmMTc5OGUwMTNlOGI2NzMwNTVmMGRm%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D5cfa541d021d1da8a4146d8eb07e68d5)