核心用法
dep-audit 是一款面向多语言项目的依赖安全审计技能,无需 API 密钥和复杂配置即可扫描 npm、pip、Cargo、Go 项目的已知漏洞。用户只需指向项目目录,系统自动检测锁文件、调用对应审计工具、聚合结果并输出标准化报告。工作流程分为四步:生态检测 → 分生态审计 → 结果聚合 → 报告呈现,支持 Discord 场景下的分段投递优化。
显著优点
- 零配置开箱即用:自动检测 package-lock.json、requirements.txt、Cargo.lock、go.mod 等锁文件,无需手动指定生态
- 多生态统一输出:将 npm audit、pip-audit、cargo audit、govulncheck 等异构结果归一化为统一 JSON 和 Markdown 报告
- 安全优先设计:默认报告模式,修复命令需用户显式确认;审计过程只读锁文件,不执行项目代码
- SBOM 生成能力:支持一键生成 CycloneDX 格式的软件物料清单
- 鲁棒性处理:工具缺失、超时、解析错误等异常情况均可降级继续,不会中断整体扫描
潜在缺点与局限性
- 审计工具依赖:需本地安装 npm、pip-audit、cargo-audit、golang.org/x/vuln 等 CLI 工具,缺失则跳过对应生态
- yarn/pnpm 支持有限:v0.1.x 仅支持 npm(package-lock.json),yarn.lock 和 pnpm-lock.yaml 需用户手动运行原生审计命令
- 漏洞覆盖范围:依赖公开 CVE 数据库(OSV、GitHub Advisory、RustSec),无法检测零日漏洞或运行时安全问题
- 网络依赖:需联网获取最新漏洞库,离线环境不可用
适合人群
开源项目维护者、DevSecOps 工程师、安全合规审计人员,以及需要快速排查依赖风险的开发团队。特别适合多语言技术栈的仓库统一安全管理。
常规风险
| 风险类型 | 说明 |
|---------|------|
| 漏报风险 | 仅覆盖已知 CVE,新披露漏洞可能存在时间窗口延迟 |
| 误报风险 | 依赖版本解析差异可能导致误报或漏报具体影响路径 |
| 供应链工具风险 | audit 工具本身需从官方渠道安装,避免引入恶意工具链 |
| 数据外传 | 审计工具会向 OSV/GitHub 等公开数据库查询包信息,敏感项目需评估 |
---
版本: 0.1.3 | 作者: CacheForge | 许可证: 未明确(建议补充开源协议)