Alec Koumjian

**Nome do software vulnerável e versões afetadas** safety (versões afetadas não especificadas) **Descrição** O pacote de linha de comando “safety” para Python apresenta um possível problema de segurança devido a duas características do Python que permitem que código malicioso disfarce ou ofusque outros pacotes maliciosos ou não seguros. Esta vulnerabilidade é considerada de baixa gravidade, pois se aproveita de uma condição existente no Python, e não da ferramenta Safety em si. Ela pode ocorrer ao executar o Safety em um ambiente Python não confiável, a partir do mesmo ambiente onde as dependências estão instaladas, ou ao instalar dependências de forma arbitrária ou sem a devida verificação. **Recomendações** Para mitigar essa vulnerabilidade, execute uma análise estática instalando o Docker e executando a imagem do Safety no Docker: $ docker run --rm -it pyupio/safety check -r requirements.txt Execute o Safety em uma lista estática de dependências, como o arquivo requirements.txt, em um ambiente Python separado e limpo. Execute o Safety a partir de um pipeline de integração contínua. Use o PyUp.io, que executa o Safety em um ambiente controlado e verifica as dependências do Python sem a necessidade de instalá-las. Use o Verificador de Requisitos Online do PyUp.