astral-sh/ruff

flake8-bandit import check should not trigger on TYPE_CHECKING imports or classes not in defusedxml

Open

Aperta il 10 dic 2024

Vedi su GitHub
 (3 commenti) (0 reazioni) (0 assegnatari)Rust (47.527 star) (2088 fork)batch import
help wanted

Descrizione

The following code triggers S408 ("xml.dom.minidom is vulnerable to XML attacks"):

from typing import TYPE_CHECKING

if TYPE_CHECKING:
    from xml.dom.minidom import Element

As far as I know, defusedxml, which this rule suggests as an alternative, does not supply alternative implementations for most of the types, only of some functions. In other words, I have to import types like these for the standard library; there is no defusedxml alternative.

So in order to signal to Ruff that "this is fine"™, I've tried moving the import to TYPE_CHECKING, but still received the same error.

This probably applies to other rules in the S4xx range, too.

Guida contributor

Tech stack
python
Dominio
developer experiencesecurity
Tipo issue
bug
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
3
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
1-3 hours
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
fresh
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
clear
Prerequisiti
PythonRustRuff internals
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
35
Direzione di ricerca
Il problema descrive un falso positivo per la regola S408 quando si importa da xml.dom.minidom all'interno di TYPE CHECKING. La correzione probabilmente richiede la modifica dell'implementazione della regola nel plugin flake8 bandit all'interno del codice sorgente di Ruff (ad esempio, in `crates/ruff linter/src/rules/flake8 bandit`). Cerca la regola che si attiva sulle importazioni di `xml.dom.minidom` e aggiungi una condizione per saltare le importazioni all'interno dei blocchi TYPE CHECKING. Considera anche di verificare se la classe importata non è disponibile in defusedxml. Non esistono ancora pull request collegate, quindi inizia familiarizzando con la logica della regola e poi implementa il salto.