PYTHON
Python Dependency Security ArticlesArticles Sécurité des dépendances Python
pip, Poetry, Pipfile, PyPI attacks — stay ahead of CVEs in your Python stack.
pip, Poetry, Pipfile, attaques PyPI — gardez une longueur d'avance sur les CVE dans votre stack Python.
Results for Résultats pour
No articles matched your search
Aucun article ne correspond à votre recherche
pip-audit vs Safety CLI vs OSV-Scanner in 2026: Python Dependency Security Tools Compared & CI/CD Guide
pip-audit vs Safety CLI vs OSV-Scanner en 2026 : Comparaison des Outils de Sécurité Python & Guide CI/CD
270K+ known vulnerabilities linked to PyPI versions in 2025. Full 2026 comparison of pip-audit 2.10.0 (PEP 751 lockfile support), Safety CLI 3.7.0 (freemium, 3× broader database), and OSV-Scanner V2 (polyglot, SARIF, container scanning) — with GitHub Actions recipes and PyPI Trusted Publishers guide.
270K+ vulnérabilités connues liées aux versions PyPI en 2025. Comparaison complète 2026 de pip-audit 2.10.0 (support lockfile PEP 751), Safety CLI 3.7.0 (freemium, base 3× plus large) et OSV-Scanner V2 (polyglotte, SARIF, scan containers) — avec recettes GitHub Actions et guide PyPI Trusted Publishers.
Python Pythonpip-audit & Poetry Security in 2026: CVE-2026-34591, pylock.toml & PyPI Trusted Publishers
Sécurité pip-audit & Poetry en 2026 : CVE-2026-34591, pylock.toml & PyPI Trusted Publishers
CVE-2026-34591 (CVSS 7.1) lets crafted wheels overwrite arbitrary files via Poetry’s wheel installer (Poetry 1.4.0–2.3.2). pip-audit 2.9.0 adds PEP 751 pylock.toml support. 132K+ PyPI packages now have provenance attestations. Full CI/CD integration guide.
CVE-2026-34591 (CVSS 7.1) permet à des wheels craftées d’écraser des fichiers arbitraires via l’installeur Poetry (1.4.0–2.3.2). pip-audit 2.9.0 ajoute le support PEP 751 pylock.toml. Plus de 132K packages PyPI ont des attestations de provenance. Guide CI/CD complet.
Python PythonPython Requests & urllib3 Security in 2026: CVE-2025-66471, CVE-2026-21441 & The Decompression Bomb Chain
Sécurité Python Requests & urllib3 en 2026 : CVE-2025-66471, CVE-2026-21441 & La Chaîne des Bombes de Décompression
CVE-2025-66471 (CVSS 8.9) crashes Python apps via decompression bombs in the streaming API. CVE-2026-21441 (CVSS 7.5) bypasses the fix via HTTP redirects — urllib3 2.6.0–2.6.2 users still affected. 200M+ downloads/week. Full upgrade guide, vulnerable code patterns, and SSRF defense.
CVE-2025-66471 (CVSS 8.9) crashe les apps Python via des bombes de décompression dans l’API streaming. CVE-2026-21441 (CVSS 7.5) contourne le correctif via les redirections HTTP — urllib3 2.6.0–2.6.2 toujours affecté. 200M+ téléchargements/semaine. Guide de mise à niveau complet, patterns vulnérables et défense SSRF.
Python PythonDjango ORM Security in 2026: SQL Injection via QuerySet, CVE-2025-64459 & How to Harden Your App
Sécurité ORM Django en 2026 : Injection SQL via QuerySet, CVE-2025-64459 & Guide de Durcissement
CVE-2025-64459 (CVSS 9.1) lets attackers bypass auth via Django’s filter() — no raw SQL needed. CVE-2026-1312 injects via order_by() + FilteredRelation. Django 4.2 LTS is now end-of-life. Full ORM security guide with vulnerable patterns, patched versions, and automated detection.
CVE-2025-64459 (CVSS 9.1) permet de contourner l’auth via filter() de Django — sans SQL brut. CVE-2026-1312 injecte via order_by() + FilteredRelation. Django 4.2 LTS est en fin de vie. Guide complet avec patterns vulnérables, versions corrigées et détection automatisée.
Setuptools & pip Security Vulnerabilities in 2026: Directory Traversal, RCE & Bundled Risks
Vulnérabilités Setuptools & pip en 2026 : Directory Traversal, RCE & risques bundlés
CVE-2025-47273 (CVSS 7.7) and CVE-2024-6345 (CVSS 8.8) in setuptools. Python 3.12 bundles both vulnerabilities. Why pip install executes arbitrary code by design, and how to protect your projects.
CVE-2025-47273 (CVSS 7.7) et CVE-2024-6345 (CVSS 8.8) dans setuptools. Python 3.12 bundle les deux vulnérabilités. Pourquoi pip install exécute du code arbitraire par conception, et comment protéger vos projets.
Python PythonPyPI Supply Chain Attacks 2026: Inside the TeamPCP Campaign
Attaques Supply Chain PyPI 2026 : La campagne TeamPCP
TeamPCP hijacked Trivy, Checkmarx, and LiteLLM on PyPI in March 2026 — 95M downloads/month, credentials stolen in 40 minutes. Full timeline and defenses.
TeamPCP a piraté Trivy, Checkmarx et LiteLLM sur PyPI en mars 2026 — 95M de téléchargements/mois, identifiants volés en 40 minutes. Chronologie complète et défenses.
Django DjangoDjango Security Vulnerabilities 2026: 6 CVEs in One Day
Vulnérabilités Django 2026 : 6 CVE en une seule release
Django patched 3 SQL injection CVEs rated HIGH in a single February 2026 release. Complete analysis, affected versions, and how to monitor your Django stack automatically.
Django a corrigé 3 injections SQL de sévérité HIGH en une seule release de février 2026. Analyse complète, versions affectées, et comment monitorer votre stack Django automatiquement.
Python PythonWhy pip audit Alone Won't Protect Your Production
Pourquoi pip audit seul ne protégera pas votre production
pip audit checks known vulnerabilities, but it only runs when you remember to. Learn why continuous monitoring is essential for production Python applications and how to set it up.
pip audit vérifie les vulnérabilités connues, mais uniquement quand vous y pensez. Découvrez pourquoi le monitoring continu est essentiel pour les applications Python en production et comment le mettre en place.
Python PythonPoetry.lock Security: A Complete Guide
Sécurité de Poetry.lock : le guide complet
Poetry's lockfile pins exact versions, but does that make you safe? We break down how CVEs can still affect locked dependencies and what monitoring strategies to adopt.
Le lockfile de Poetry fixe les versions exactes, mais est-ce suffisant ? Nous détaillons comment les CVE peuvent toujours affecter vos dépendances verrouillées et quelles stratégies de monitoring adopter.
Python PythonSecuring FastAPI Applications: Dependency Edition
Sécuriser vos applications FastAPI : édition dépendances
FastAPI apps rely on dozens of transitive dependencies. This guide covers how to audit your requirements.txt and poetry.lock for known vulnerabilities before they reach production.
Les applications FastAPI s'appuient sur des dizaines de dépendances transitives. Ce guide couvre l'audit de vos requirements.txt et poetry.lock pour détecter les vulnérabilités connues avant la mise en production.
Monitor your dependencies automatically
Surveillez vos dépendances automatiquement
Upload your lockfiles and get instant CVE alerts. No code access required.
Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.
Start your 14-day free trial Demarrer l'essai gratuit 14 jours