<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 2, 2015 at 12:22 PM, Cyril Roelandt <span dir="ltr"><<a href="mailto:cyril@redhat.com" target="_blank">cyril@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello,<br>
<br>
The libraries from the Oslo project are used everywhere in OpenStack, which means that a security issue in Olso code might have an impact on a<br>
lot of other projects. This is why I am currently trying to add support for the bandit[1] static checker in all of the Oslo libraries.<br>
<br>
While reviewing one of my patches[2], Victor Stinner noticed that the bandit configuration file (bandit.yaml) I proposed, which is basically a<br>
copy of the example config file[3] provided by the bandit project with<br>
some minor changes, might be a bit hard to maintain across all Oslo projects. Indeed, all configuration files could potentially have to be<br>
changed whenever a new checker is added to bandit, for instance.<br>
<br>
In order to make it easier to keep an up-to-date configuration file, I<br>
quickly wrote a proof of concept[4] that allows developers to generate a<br>
configuration file that fits their needs. One can now generate a working<br>
bandit.yaml configuration file by typing something like:<br>
<br>
$ bandit-conf-generator --disable try_except_pass --out bandit.yaml oslo.messaging ~/openstack/bandit/bandit/config/bandit.yaml<br>
<br>
Whenever a new version of bandit comes out, one can grab the latest<br>
config file example from the bandit release, and re-run the above<br>
command. The generated config file will include all the new checkers.<br>
<br>
What do you think? Could this be a useful tool to handle bandit<br>
configurations?<br>
<br></blockquote><div><br></div><div>We could use something like this in keystone since we've got a few repositories. There should be a way to document why the test was skipped since otherwise we'll have to figure it out every time we update the file. Putting a comment on the command line would wind up being unwieldy, so we should have a config file for bandit-conf-generator... but then why not just have bandit know how to read the bandit-conf-generator config file and skip the extra step?<br><br></div><div>- Brant<br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Cyril Roelandt.<br>
---<br>
<br>
[1] <a href="https://wiki.openstack.org/wiki/Security/Projects/Bandit" rel="noreferrer" target="_blank">https://wiki.openstack.org/wiki/Security/Projects/Bandit</a><br>
[2] <a href="https://review.openstack.org/#/c/239666/" rel="noreferrer" target="_blank">https://review.openstack.org/#/c/239666/</a><br>
[3] <a href="https://github.com/openstack/bandit/blob/master/bandit/config/bandit.yaml" rel="noreferrer" target="_blank">https://github.com/openstack/bandit/blob/master/bandit/config/bandit.yaml</a><br>
[4] <a href="https://github.com/CyrilRoelandteNovance/bandit_conf_generator" rel="noreferrer" target="_blank">https://github.com/CyrilRoelandteNovance/bandit_conf_generator</a><br>
<br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote></div><br></div></div>