問題タブ [hardcoded]

私は Python コードのセキュリティを見直している最中です。

そのために、Bandits (Python のモジュール) や DeepCode (www.deepcode.ai) などのツールを使用しています。Bandit は、ログインとパスワードのハードコーディングにいくつかの脆弱性があることを発見しましたが、DeepCode には脆弱性は見つかりませんでした。問題のコードは次のとおりです。

資格情報をハードコーディングしてはならないという記事を見つけました。ここにいくつかの記事があります: https://qxf2.com/blog/dont-hardcode-usernames-and-passwords-in-your-test-scripts/ ; https://www.owasp.org/index.php/Use_of_hard-coded_pa​​ssword ; https://www.preemptive.com/blog/article/1059-create-more-secure-applications-don-t-hard-code-credentials-instead-use-application-hardening/106-risk-management .

では、ハードコードされた資格情報を使用するリスクは何ですか? いくつかのサンプルを見せてもらえますか? 資格情報をハードコーディングできない場合、資格情報を保護する別の方法は何ですか?

ありがとう

動的な名前の csv ファイルを読み込んだり、ファイル パスのハード コーディングを回避したりする際に問題が発生します。短く整頓されたコード (ハードコードされていない) が必要です。フル パス (「~」より前のすべて) をハードコードすると、ファイルが正常に読み込まれます。ただし、ファイル パスをソフト コーディング (ハード コーディングの反対である場合) すると、エラーが発生します (エラーに正しいパスが表示されているにもかかわらず)。ファイル名の 2 つの可変部分があり、それを読み取る前にファイル名に貼り付けます。貼り付けを避けて、個人ごとにパスを入力するだけでも機能します。

ここで提案されているようgetwd()に、ペーストの最初の部分で代わりに使用すると、ペーストの最初にこの文字列が生成されます。しかし、どうすれば「〜」で動作させることができますか? を使用すると、「ドキュメント」フォルダーで停止します...~"C:/Users/myname/Documents/MyR_Projects/Specific_R_project/"~

望ましい結果は、エラーなしでファイルを読み取り、関数を実行して、他のファイルで繰り返すことです。私のループはハードコードで問題なく動作しますが、より一般的またはソフトコード化したかっただけです。