dep-audit

🛡️ 零配置多语言依赖漏洞扫描

多语言依赖漏洞扫描工具,支持 npm/pip/Cargo/Go,无需 API 密钥,默认仅报告不修复,供应链安全入门首选

收藏
7.3k
安装
1.5k
版本
0.2.1
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

dep-audit 是一款面向开发者的依赖安全审计技能,支持 npm、pip、Cargo、Go 四大主流生态的漏洞检测。用户只需指向项目目录,系统自动检测锁文件并调用原生审计工具,无需配置 API 密钥或第三方账户。

使用流程

1. 自动检测:扫描目录识别 package-lock.jsonrequirements.txtCargo.lockgo.mod 等锁文件
2. 并行审计:按检测到的生态分别执行安全扫描

3. 统一报告:聚合结果生成 Markdown 报告,按严重等级排序(Critical > High > Medium > Low)

4. 可选修复:仅当用户明确要求时,列出具体修复命令并二次确认

5. SBOM 导出:按需生成 CycloneDX 格式的软件物料清单

显著优点

  • 零配置开箱即用:无需 API key、无需注册服务,依赖公开漏洞数据库(OSV、GitHub Advisory、RustSec)
  • 安全优先设计:默认报告模式,所有修复操作需用户显式确认,避免自动化风险
  • 多生态覆盖:单一入口覆盖 JavaScript、Python、Rust、Go 四大语言栈
  • Discord 优化:针对即时通讯场景优化输出长度,支持交互式组件快速操作
  • 健壮性设计:单生态失败不影响其他生态扫描,超时自动跳过,错误结果可聚合展示

潜在局限

  • 审计范围限制:仅检测已知 CVE,无法识别零日漏洞或运行时安全问题
  • yarn/pnpm 支持待完善:v0.1.x 仅支持 package-lock.json,yarn/pnpm 用户需手动运行原生命令
  • 修复能力有限:仅提供命令建议,不执行自动依赖升级
  • 依赖外部工具:审计和聚合阶段需要 jq,未安装时会中断
  • 无深度 SCA:缺少许可证合规分析、供应链投毒检测等进阶能力

适合人群

  • 个人开发者:快速排查 side project 依赖风险
  • 小型团队:CI 前置的轻量级安全检查
  • 安全入门用户:理解供应链安全概念的第一步工具
  • Discord 社区维护者:即时分享项目安全状态

常规风险

| 风险类型 | 说明 |
|---------|------|
| 漏报风险 | 仅覆盖公开 CVE 数据库,新披露漏洞存在时间窗口 |
| 误报可能 | 部分漏洞在特定使用场景下不可利用 |
| 网络依赖 | 需连接公共漏洞数据库,离线环境无法使用 |
| 权限要求 | 需要执行权限运行原生审计 CLI,容器环境需确认工具链存在 |
| 数据外泄 | 审计工具可能向公共数据库发送依赖包名和版本信息(标准行为) |

安全评级说明

该技能设计上强调 默认只读、显式确认修复,但执行审计仍需网络连接和本地 CLI 权限。建议在生产环境使用前,先在非关键项目验证行为符合预期。

dep-audit 内容

scripts文件夹
手动下载zip · 29.9 kB
aggregate.shtext/x-shellscript
请选择文件