mgpy combine des signaux cote produit et cote supply chain: patterns de code risquee, dependances obsoletees et secrets accidentels doivent etre visibles avant la release.
Points cles
- CLI: Sous Windows, les exemples utilisent la forme recommandee
py -3.12 -m <module> ...(par ex.py -3.12 -m manifestguard ...). Sous Linux/macOS, cela correspond generalement apython3.12 -m .... - Les chemins d execution dangereux comme
eval,execou des secrets hardcodes exigent de vraies modifications de code et non des suppressions en commentaire. - Les audits de dependances n ont de valeur que si les problemes transitifs sont eux aussi traites dans la release.
- Les wheels et artefacts de build font egalement partie de la revue securite.
Workflow mgpy recommande
- Corriger d abord les findings critiques evidents: secrets, execution dangereuse et chemins hardcodes.
- Inclure ensuite audits de packages et artefacts de release dans la meme passe securite.
- N utiliser des suppressions que pour des exceptions legitimes et documentees puis les reverifier regulierement.
Demarrage rapide
invoke security-scan
py -3.12 -m manifestguard check --extended
py -3.12 -m manifestguard check --report .manifestguard/manifestguard-report.json