mgpy kombiniert Produkt- und Lieferketten-Signale: riskante Code-Muster, veraltete Abhaengigkeiten und versehentliche Geheimnisse muessen vor dem Release sichtbar sein.
Kernpunkte
- CLI: Unter Windows zeigen die Beispiele den empfohlenen Aufruf via
py -3.12 -m <modul> ...(z.B.py -3.12 -m manifestguard ...). Auf Linux/macOS entspricht das in der Regelpython3.12 -m .... - Unsichere Ausfuehrungspfade wie
eval,execoder hart kodierte Geheimnisse brauchen echte Code-Aenderungen statt Kommentar-Suppressions. - Dependency-Audits sind nur wertvoll, wenn auch transitive Probleme im Release-Prozess beruecksichtigt werden.
- Wheel- und Build-Artefakte gehoeren mit in die Sicherheitsbetrachtung.
Empfohlener MG-Python-Workflow
- Erst die offensichtlich kritischen Findings beseitigen: Secrets, unsichere Ausfuehrung und harte Pfade.
- Danach Paket-Audits und Release-Artefakte in denselben Sicherheitslauf einbeziehen.
- Suppressions nur fuer legitim dokumentierte Ausnahmefaelle einsetzen und regelmaessig erneut pruefen.
Schnellstart
invoke security-scan
py -3.12 -m manifestguard check --extended
py -3.12 -m manifestguard check --report .manifestguard/manifestguard-report.json