dep-audit

🔍 一键扫描四大生态依赖漏洞

零配置依赖安全审计工具,支持 npm/pip/Cargo/Go 四大生态,自动检测 CVE 漏洞并生成 SBOM,默认只读模式保障安全。

收藏
4.2k
安装
1.5k
版本
0.1.5
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

dep-audit 是一款面向多语言项目的依赖安全审计技能,无需 API 密钥和复杂配置即可扫描 npm、pip、Cargo、Go 项目的已知漏洞。用户只需指向项目目录,系统自动检测锁文件、调用对应审计工具、聚合结果并输出标准化报告。工作流程分为四步:生态检测 → 分生态审计 → 结果聚合 → 报告呈现,支持 Discord 场景下的分段投递优化。

显著优点

  • 零配置开箱即用:自动检测 package-lock.json、requirements.txt、Cargo.lock、go.mod 等锁文件,无需手动指定生态
  • 多生态统一输出:将 npm audit、pip-audit、cargo audit、govulncheck 等异构结果归一化为统一 JSON 和 Markdown 报告
  • 安全优先设计:默认报告模式,修复命令需用户显式确认;审计过程只读锁文件,不执行项目代码
  • SBOM 生成能力:支持一键生成 CycloneDX 格式的软件物料清单
  • 鲁棒性处理:工具缺失、超时、解析错误等异常情况均可降级继续,不会中断整体扫描

潜在缺点与局限性

  • 审计工具依赖:需本地安装 npm、pip-audit、cargo-audit、golang.org/x/vuln 等 CLI 工具,缺失则跳过对应生态
  • yarn/pnpm 支持有限:v0.1.x 仅支持 npm(package-lock.json),yarn.lock 和 pnpm-lock.yaml 需用户手动运行原生审计命令
  • 漏洞覆盖范围:依赖公开 CVE 数据库(OSV、GitHub Advisory、RustSec),无法检测零日漏洞或运行时安全问题
  • 网络依赖:需联网获取最新漏洞库,离线环境不可用

适合人群

开源项目维护者、DevSecOps 工程师、安全合规审计人员,以及需要快速排查依赖风险的开发团队。特别适合多语言技术栈的仓库统一安全管理。

常规风险

| 风险类型 | 说明 |
|---------|------|
| 漏报风险 | 仅覆盖已知 CVE,新披露漏洞可能存在时间窗口延迟 |
| 误报风险 | 依赖版本解析差异可能导致误报或漏报具体影响路径 |
| 供应链工具风险 | audit 工具本身需从官方渠道安装,避免引入恶意工具链 |
| 数据外传 | 审计工具会向 OSV/GitHub 等公开数据库查询包信息,敏感项目需评估 |

---

版本: 0.1.3 | 作者: CacheForge | 许可证: 未明确(建议补充开源协议)

dep-audit 内容

scripts文件夹
手动下载zip · 28.7 kB
aggregate.shtext/x-shellscript
请选择文件