JP0229S¶

Небезопасное использование временных tmp файлов или директорий¶

Следует избегать работы с временными директориями и файлами вручную, без использования стандартных библиотечных функций, которые учитывают такое потенциально небезопасное поведение как предсказуемые временные пути и наименования, некорректные права доступа и неполная очистка.

Проверяемые строки¶

• /tmp
• /var/tmp

Пример небезопасного создания временного файла¶

1
2

with open("/var/tmp/123", "w") as f:
    f.write("def")

Пример безопасного использования¶

1
2
3
4
5

import os
import tempfile

with tempfile.TemporaryFile() as tmp:
    tmp.write("stuff")

Дополнительная информация¶

• https://security.openstack.org/guidelines/dg_using-temporary-files-securely.html
• https://cwe.mitre.org/data/definitions/377.html
• https://cwe.mitre.org/data/definitions/379.html
• https://cwe.mitre.org/data/definitions/459.html