正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

GitLab高度なSASTルール: Python

  • プラン: Ultimate
  • 提供形態: GitLab.com、GitLab Self-Managed、GitLab Dedicated

GitLab高度なSASTがPythonコードの脆弱性を検出するために使用するルール。

ルールIDルールの説明CWEOWASP Top 10
python-dill-deserialization-usage-taint信頼できないデータの逆シリアル化CWE-502A8:2017、A08:2021
python-django-sqli-raw-taintSQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」)CWE-89A1:2017、A03:2021
python-django-sqli-rawsql-extra-taintSQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」)CWE-89A1:2017、A03:2021
python-django-ssti-context-taintテンプレートエンジンで使用される特殊要素の不適切な無害化CWE-1336A1:2017、A03:2021
python-django-xss-httpresponse-taintWebページ生成時の入力の不適切な無害化(「クロスサイトスクリプティング」)CWE-79A1:2017、A03:2021
python-django-xss-mark-safe-atomicWebページ生成時の入力の不適切な無害化(「クロスサイトスクリプティング」)CWE-79A7:2017、A03:2021
python-flask-misconfiguration-app-debug-atomicアクティブなデバッグコードCWE-489A6:2017、A05:2021
python-flask-misconfiguration-cors-credentials-allowed-atomic信頼されていないドメインに対する許容的なクロスドメインポリシーCWE-942A6:2017、A05:2021
python-flask-misconfiguration-cors-credentials-dynamic-origin-taint信頼されていないドメインに対する許容的なクロスドメインポリシーCWE-942A6:2017、A05:2021
python-flask-misconfiguration-cors-wildcard-atomic信頼されていないドメインに対する許容的なクロスドメインポリシーCWE-942A6:2017、A05:2021
python-flask-misconfiguration-httponly-false-atomic「HttpOnly」フラグが設定されていない機密性の高いCookieCWE-1004A6:2017、A05:2021
python-flask-misconfiguration-samesite-none-atomicSameSite属性が適切な機密機密性の高いCookieCWE-1275A6:2017、A05:2021
python-flask-openredirect-taint信頼されていないサイトへのURLリダイレクト(「オープンリダイレクト」)CWE-601A01:2021、A5:2017
python-flask-ssrf-host-header-injection-taintサーバーサイドリクエストフォージェリ(SSRF)CWE-918A1:2017、A10:2021
python-flask-ssti-rendertemplatestring-taintテンプレートエンジンで使用される特殊要素の不適切な無害化CWE-1336A1:2017、A03:2021
python-flask-xss-markup-taintWebページ生成時の入力の不適切な無害化(「クロスサイトスクリプティング」)CWE-79A1:2017、A03:2021
python-graphene-dos-graphiql-no-depth-limit-atomic制限やスロットリングのないリソースの割り当てCWE-770A6:2017、A05:2021
python-httpserver-crlfi-taintHTTPヘッダー内のCRLFシーケンスの不適切な無害化(「HTTPリクエスト/レスポンス分割」)CWE-113A1:2017、A03:2021
python-jinja2-xss-autoescape-false-atomic出力の不適切なエンコードまたはエスケープCWE-116A7:2017、A03:2021
python-jsonpickle-deserialization-decode-taint信頼できないデータの逆シリアル化CWE-502A8:2017、A08:2021
python-lang-accesscontrol-hardcoded-tmp-atomic脆弱な一時ファイルCWE-377A5:2017、A01:2021
python-lang-accesscontrol-httpbasicauth-atomic脆弱な認証CWE-1390A5:2017、A01:2021
python-lang-cmdi-asyncio-taintOSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」)CWE-78A1:2017、A03:2021
python-lang-cmdi-code-run-taintOSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」)CWE-78A1:2017、A03:2021
python-lang-cmdi-eval-taint動的に評価されるコード内のディレクティブの不適切な無害化(「Evalインジェクション」)CWE-95A1:2017、A03:2021
python-lang-cmdi-globals-taintOSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」)CWE-78A1:2017、A03:2021
python-lang-cmdi-linux-wildcard-atomicワイルドカードまたはマッチングシンボルの不適切な無効化CWE-155A1:2017、A03:2021
python-lang-cmdi-os-exec-taintOSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」)CWE-78A1:2017、A03:2021
python-lang-cmdi-paramiko-calls-taintOSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」)CWE-78A1:2017、A03:2021
python-lang-cmdi-spawn-process-taintOSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」)CWE-78A1:2017、A03:2021
python-lang-cmdi-subinterpreters-taintOSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」)CWE-78A1:2017、A03:2021
python-lang-cmdi-subprocess-taintOSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」)CWE-78A1:2017、A03:2021
python-lang-cmdi-system-call-taintOSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」)CWE-78A1:2017、A03:2021
python-lang-codei-exec-used-taintコード生成の不適切な制御(「コードインジェクション」)CWE-94A1:2017、A03:2021
python-lang-crypto-cipher-blowfish-atomic破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-cipher-des-atomic破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-ftplib-atomic機密情報の平文送信CWE-319A3:2017、A02:2021
python-lang-crypto-hash-md4-atomic破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-hash-md5-atomic破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-hash-sha1-atomic破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-hash-xor-atomic破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-hazmat-cipher-blowfish-atomic破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-hazmat-cipher-idea-atomic破損した、または危険な暗号アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-hazmat-cipher-insecure-algo-atomic破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-hazmat-encrypt-ec-size-atomic不適切な暗号化強度CWE-326A3:2017、A02:2021
python-lang-crypto-hazmat-hash-md5-atomic破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-hazmat-hash-sha1-atomic破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-hazmat-modes-ecb-atomic破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-httpconnectionpool-atomic機密情報の平文送信CWE-319A3:2017、A02:2021
python-lang-crypto-import-telnetlib-atomic機密情報の平文送信CWE-319A3:2017、A02:2021
python-lang-crypto-insecure-random-atomic暗号学的に脆弱な擬似乱数生成器(PRNG)の使用CWE-338A3:2017、A02:2021
python-lang-crypto-jwt-none-alg-atomic破損した、または危険な暗号アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-pycrypto-import-atomicメンテナンスされていないサードパーティコンポーネントの使用CWE-1104A9:2017、A02:2021
python-lang-crypto-request-certification-verify-atomic不適切な証明書検証CWE-295A2:2017、A07:2021
python-lang-crypto-ssl-bad-version-atomic不十分な暗号化強度CWE-326A3:2017、A02:2021
python-lang-crypto-ssl-unverified-context-atomic不適切な証明書検証CWE-295A2:2017、A07:2021
python-lang-crypto-weak-algo-atomic破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-weak-cipher-suites-taint破損したまたは危険な暗号学的アルゴリズムの使用CWE-327A3:2017、A02:2021
python-lang-crypto-weak-key-atomic不適切な暗号化強度CWE-326A3:2017、A02:2021
python-lang-dos-loop-taintforループ条件に対する未入力チェックCWE-606A6:2017、A05:2021
python-lang-dos-redos-taint非効率な正規表現の複雑さCWE-1333A1:2017、A03:2021
python-lang-ldapi-taintLDAPクエリで使用される特殊要素の不適切な無害化(「LDAPインジェクション」)CWE-90A1:2017、A03:2021
python-lang-marshal-deserialization-taint信頼できないデータの逆シリアル化CWE-502A8:2017、A08:2021
python-lang-misconfiguration-bad-permission-atomic重要なリソースに対する不適切な権限割り当てCWE-732A5:2017、A01:2021
python-lang-misconfiguration-bind-all-interfaces-atomic制限されていないIPアドレスへのバインディングCWE-1327A6:2017、A05:2021
python-lang-misconfiguration-config-logging-insecure-listen-atomicコード生成の不適切な制御(「コードインジェクション」)CWE-94A1:2017、A03:2021
python-lang-misconfiguration-graphiql-interface-enabled-atomic不正な制御領域への機密情報の漏洩CWE-497A6:2017、A05:2021
python-lang-misconfiguration-ssh-nohost-key-verification-atomicキー交換なしのエンティティ認証CWE-322A5:2017、A07:2021
python-lang-misconfiguration-tempfile-mktemp-used-atomic脆弱な一時ファイルCWE-377A3:2017、A01:2021
python-lang-misconfiguration-without-timeout-atomic制限やスロットリングのないリソースの割り当てCWE-770A6:2017、A05:2021
python-lang-pathtraversal-file-low-taint制限されたディレクトリへのパス名の不適切な制限(「パストラバーサル」)CWE-22A5:2017、A01:2021
python-lang-pathtraversal-file-taint制限されたディレクトリへのパス名の不適切な制限(「パストラバーサル」)CWE-22A5:2017、A01:2021
python-lang-pathtraversal-tarfile-taint制限されたディレクトリへのパス名の不適切な制限(「パストラバーサル」)CWE-22A5:2017、A01:2021
python-lang-pathtraversal-urllib-taint相対パストラバーサルCWE-23A5:2017、A01:2021
python-lang-pickle-deserialization-taint信頼できないデータの逆シリアル化CWE-502A8:2017、A08:2021
python-lang-sqli-aiopg-taintSQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」)CWE-89A1:2017、A03:2021
python-lang-sqli-asyncpg-taintSQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」)CWE-89A1:2017、A03:2021
python-lang-sqli-hardcoded-sql-expression-taintSQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」)CWE-89A1:2017、A03:2021
python-lang-sqli-pg8000-taintSQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」)CWE-89A1:2017、A03:2021
python-lang-sqli-psycopg-taintSQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」)CWE-89A1:2017、A03:2021
python-lang-ssrf-aiohttp-taintサーバーサイドリクエストフォージェリ(SSRF)CWE-918A1:2017、A10:2021
python-lang-ssrf-ftplib-smtplib-taintサーバーサイドリクエストフォージェリ(SSRF)CWE-918A1:2017、A10:2021
python-lang-ssrf-httpx-taintサーバーサイドリクエストフォージェリ(SSRF)CWE-918A1:2017、A10:2021
python-lang-ssrf-requests-taintサーバーサイドリクエストフォージェリ(SSRF)CWE-918A1:2017、A10:2021
python-lang-ssrf-socket-taintサーバーサイドリクエストフォージェリ(SSRF)CWE-918A1:2017、A10:2021
python-lang-xpathi-taintXPath式内のデータの不適切な無害化(XPathインジェクション)CWE-643A1:2017、A03:2021
python-lang-xxe-xml-expatbuilder-taintXML外部エンティティ参照の不適切な制限(「XXE」)CWE-611A4:2017、A03:2021
python-lang-xxe-xml-expatreader-taintXML外部エンティティ参照の不適切な制限(「XXE」)CWE-611A4:2017、A03:2021
python-lang-xxe-xml-minidom-taintXML外部エンティティ参照の不適切な制限(「XXE」)CWE-611A4:2017、A03:2021
python-lang-xxe-xml-pulldom-taintXML外部エンティティ参照の不適切な制限(「XXE」)CWE-611A4:2017、A03:2021
python-lang-xxe-xml-sax-taintXML外部エンティティ参照の不適切な制限(「XXE」)CWE-611A4:2017、A03:2021
python-lang-xxe-xml-taintXML外部エンティティ参照の不適切な制限(「XXE」)CWE-611A4:2017、A03:2021
python-mako-xss-template-atomicWebページ生成時の入力の不適切な無害化(「クロスサイトスクリプティング」)CWE-79A7:2017、A03:2021
python-mako-xss-template-taintWebページ生成時の入力の不適切な無害化(「クロスサイトスクリプティング」)CWE-79A7:2017、A03:2021
python-pyjwt-crypto-jwt-signature-verification-disabled-atomic不適切な暗号学的署名検証CWE-347A3:2017、A02:2021
python-pyramid-csrf-origin-check-atomicクロスサイトリクエストフォージェリ(CSRF)CWE-352A5:2017、A01:2021
python-pysnmp-crypto-insecure-version-atomic機密情報の平文送信CWE-319A3:2017、A02:2021
python-pysnmp-crypto-weak-cryptography-atomic機密情報の平文送信CWE-319A3:2017、A02:2021
python-pyyaml-deserialization-load-taint信頼できないデータの逆シリアル化CWE-502A8:2017、A08:2021
python-ruamel-deserialization-yaml-taint信頼できないデータの逆シリアル化CWE-502A8:2017、A08:2021
python-shelve-deserialization-usage-taint信頼できないデータの逆シリアル化CWE-502A8:2017、A08:2021
python-sqlalchemy-sqli-execute-taintSQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」)CWE-89A1:2017、A03:2021
python-sqlalchemy-sqli-raw-functions-taintSQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」)CWE-89A1:2017、A03:2021
python-webserver-asyncio-ssrf-taintサーバーサイドリクエストフォージェリ(SSRF)CWE-918A1:2017、A10:2021
python-webserver-http-httplib-client-ssrf-taintサーバーサイドリクエストフォージェリ(SSRF)CWE-918A1:2017、A10:2021
python-webserver-paramiko-ssrf-taintサーバーサイドリクエストフォージェリ(SSRF)CWE-918A1:2017、A10:2021
python-webserver-pycurl-ssrf-taintサーバーサイドリクエストフォージェリ(SSRF)CWE-918A1:2017、A10:2021
python-webserver-urllib3-ssrf-taintサーバーサイドリクエストフォージェリ(SSRF)CWE-918A1:2017、A10:2021