python grype

## 关于 Python Grype 的一些个人看法

最近在项目里处理依赖安全扫描的时候，又用到了 Grype 这个工具。其实在 Python 生态里，这类安全扫描工具不少，但 Grype 用下来的感觉确实有些不太一样的地方。今天正好有空，就聊聊这个工具，算是记录一些实际使用中的体会。

它到底是什么

Grype 本质上是一个漏洞扫描器，专门用来检查你项目里用到的那些包有没有已知的安全问题。它不是 Python 独有的工具，实际上能扫描多种语言和格式的包，但用在 Python 项目上特别顺手。你可以把它想象成一个专门检查软件成分的“安检仪”——不是检查代码写得对不对，而是检查你从外面拿进来的那些第三方库是不是“干净”的。

和很多同类工具不同的是，Grype 背后用的是 Anchore 维护的一个漏洞数据库，这个数据库更新得挺频繁，覆盖的范围也比较广。它不需要你把代码真的跑起来，也不需要连接什么复杂的服务，就是一个命令行工具，本地就能用。

它能解决什么问题

最直接的用处就是告诉你：“嘿，你用的这个 requests 版本有个已知的漏洞，建议升级到新版本。” 听起来简单，但在实际项目里，这种提醒能避免很多潜在的风险。

比如去年有个项目，用的是某个数据处理库的旧版本，那个版本有个权限绕过的问题。我们自己写代码的时候完全没注意到，但 Grype 扫了一遍就直接标出来了。后来查了 CVE 记录，确实是个中危漏洞。如果没有这个扫描，可能等到出问题的时候才会去查，那时候修复成本就高多了。

另一个比较实用的场景是在 CI/CD 流程里。可以在代码合并或者构建镜像的时候自动跑一遍 Grype，发现有高危漏洞就直接失败，不让有问题的代码进入下一步。这种自动化的检查比人工去记“哪些库有问题”要可靠得多。

怎么用起来

安装很简单，用 pip 就能装：pip install grype。不过更推荐的是直接从 GitHub 下编译好的二进制文件，这样不污染 Python 环境。

基本用法就是对着你的项目目录或者一个 Docker 镜像扫一下：

grype /path/to/your/project

或者

grype your-docker-image:tag

它会输出一个表格，列出找到的漏洞、严重等级、受影响的包和版本，还有修复建议。输出格式也可以调，默认是表格，也可以输出 JSON 方便其他工具处理。

有个细节值得提一下：Grype 支持配置文件，可以在项目根目录放个.grype.yaml，里面可以设置忽略某些特定的漏洞。这个功能在实际项目里很实用，因为有时候明知道某个漏洞存在，但暂时没法升级版本（比如兼容性问题），就可以先忽略掉，避免 CI 一直报错。当然，这种忽略要谨慎，最好在配置文件里写清楚为什么忽略、谁批准的、计划什么时候修复。

一些实践中的经验

用了一段时间后，发现几个比较有用的点。

首先是扫描时机。除了在 CI 里做自动化检查，在本地开发的时候也可以时不时扫一下。特别是当你准备升级某个重要依赖的时候，先扫一遍，看看新版本有没有引入新的安全问题。这个习惯能避免很多“升级完了才发现有问题”的尴尬。

然后是结果的处理。Grype 的输出有时候会比较多，特别是那些大型项目。这时候可以先用--fail-on high这样的参数，只关注高危漏洞。中低危的可以定期（比如每周）统一看一次。实际经验是，如果高危漏洞都处理完了，项目的安全状况通常就已经不错了。

还有一个是关于误报。任何扫描工具都会有误报，Grype 也不例外。有时候它会报一个漏洞，但你仔细看 CVE 描述，发现那个漏洞只在特定配置下才会触发，而你的项目根本没用那个配置。这时候就可以放心地把它加到忽略列表里。关键是要去看原始的安全公告，而不是盲目相信工具的输出。

和其他工具的比较

Python 生态里做漏洞扫描的还有好几个，比如 Safety、Trivy、Snyk 等等。每个工具都有自己的特点。

Safety 可能是最早被广泛使用的 Python 漏洞扫描工具之一，它的数据库更新很快，对 Python 包的支持也很全面。但 Safety 主要专注于 Python，而 Grype 能扫的东西更多，包括系统包、Docker 镜像里的其他语言包等等。如果你只需要管 Python 包，Safety 可能更轻量；但如果你的项目是混合环境，或者最后要打包成 Docker 镜像，Grype 就更合适。

Trivy 也是个很流行的工具，功能上和 Grype 很像，都能扫多种格式。Trivy 的速度有时候更快一些，但 Grype 的输出格式我个人觉得更易读一些。这两个工具选哪个，很大程度上看团队的习惯和现有工具链的集成情况。

Snyk 是商业工具，功能更强大，有很好的 Web 界面和团队协作功能。但如果只是想要一个简单、免费、能集成到 CI 里的工具，Grype 通常就够用了。

总的来说，Grype 给我的感觉是一个“刚刚好”的工具——功能足够用，不复杂，容易集成，输出结果也清晰。它不是万能的，但对于大多数 Python 项目来说，已经能解决绝大部分的依赖安全检查需求了。

安全工具最重要的不是功能多强大，而是团队真的愿意用它、能坚持用下去。从这点来说，Grype 的设计还是挺成功的。它不会给你制造太多麻烦，就是在该提醒的时候提醒一下，该警告的时候警告一下，这种克制反而让它在日常开发中更容易被接受。