safety 每次扫描需联网查 cve 是因默认不带本地数据库,优先保障数据新鲜度;离线需手动执行 safety db upgrade 下载缓存至 ~/.safety/safety.db,再指定 --db-path 才能使用。
为什么 safety 每次扫描都要联网查 CVE?
safety 默认不带本地漏洞数据库,每次运行 safety check 都会向 pyup.io 的 API 发起请求,获取最新 CVE 数据。这不是设计缺陷,而是默认行为——它优先保证数据新鲜度,但代价是:没网就报错、CI 里不稳定、扫描变慢、还可能触发速率限制。
真正要解决的不是“能不能离线”,而是“怎么让本地缓存既及时又可控”。
- 缓存文件默认存在
~/.safety/safety.db,但不会自动下载或更新 - 必须显式执行
safety db upgrade才会拉取并解压 SQLite 数据库 - 升级后
safety check --db-path ~/.safety/safety.db才能离线扫描 - 注意:老版本
safety(--db-path,必须升级
safety db upgrade 失败的常见原因
最常卡在 DNS、代理、证书或权限上,错误信息通常是 ConnectionError 或 SSLError,而不是明确提示“下载失败”。
- 公司内网环境没配代理?加
HTTPS_PROXY环境变量再试 - 用的是自签名证书?临时设
SSL_CERT_FILE指向企业根证书,或加--insecure(仅测试环境) - 目标目录不可写?
safety db upgrade默认写入~/.safety/,确认用户有权限 - 磁盘空间不足?完整数据库约 80MB,解压后 SQLite 文件约 120MB
CI/CD 中稳定使用本地缓存的关键配置
在 GitHub Actions、GitLab CI 等场景下,不能依赖“某次手动升级”,必须把数据库下载和路径绑定写进流程里。
citySHOP多用户商城系统
下载
citySHOP是一款集CMS、网店、商品、分类信息、论坛等为一体的城市多用户商城系统,已完美整合目前流行的Discuz! 6.0论坛,采用最新的5.0版PHP+MYSQL技术。面向对象的数据库连接机制,缓存及80%静态化处理,使它能最大程度减轻服务器负担,为您节约建设成本。多级店铺区分及联盟商户地图标注,实体店与虚拟完美结合。个性化的店铺系统,会员后台一体化管理。后台登陆初始网站密匙:LOVES
立即学习“Python免费学习笔记(深入)”;
- 先用
safety db upgrade --db-path ./safety.db把库下到项目目录下(避免家目录权限问题) - 扫描时固定指定路径:
safety check --db-path ./safety.db -r requirements.txt - 建议把
./safety.db加进.gitignore,但 CI 中通过 cache key 缓存它(比如用safety-db-v2024-06命名) - 别用
safety check --full-report离线跑——它仍会尝试联网补全描述字段,去掉这个参数才真离线
缓存过期了怎么办?别等自动提醒
safety 不会主动告诉你本地 DB 过期,也不会静默 fallback 到线上。它只按你给的路径读 SQLite,里面的数据就是“当时 upgrade 的那一刻”的快照。
- CVE 数据更新频率高,建议每周 CI 中强制
safety db upgrade一次(哪怕只是检查 hash 变更) - 想查当前 DB 时间戳?直接
sqlite3 ./safety.db "SELECT value FROM metadata WHERE key='generated_at';" - 误删或损坏?删掉整个
safety.db文件重跑upgrade,别试图修复 SQLite
本地缓存不是 set-and-forget 的开关,它是个需要定期刷新的快照——漏掉一次 upgrade,就可能漏掉一批新公开的包漏洞。
