DepGuard

🛡️ 依赖安全审计与合规守护

开源依赖安全审计工具,支持10+包管理器漏洞扫描与许可证合规检查,免费版即用即走,付费版支持Git Hooks持续监控。

收藏
5.3k
安装
1.4k
版本
1.0.1
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

DepGuard 是一款本地化依赖安全审计工具,通过封装各语言原生审计命令(npm audit、cargo audit、pip-audit等)实现跨平台漏洞检测。免费版提供单次扫描与报告生成;Pro版($19/用户/月)解锁Git Hooks自动拦截、持续监控及自动修复;Team版($39/用户/月)新增策略强制、SBOM生成与合规审计功能。

显著优点

1. 零配置开箱:免费版无需API密钥,直接调用本地包管理器工具链
2. 离线可用:许可证验证不联网,扫描过程完全本地执行

3. 多生态覆盖:支持npm/yarn/pnpm、Python、Rust、Go、PHP、Ruby、Java/Maven/Gradle等10余种生态

4. CI/CD友好:纯Shell脚本驱动,易于嵌入流水线

5. Monorepo适配:自动识别工作区结构,递归扫描子包

潜在局限

  • 依赖原生工具:若目标环境未安装cargo-audit、pip-audit等工具,会降级为仅解析manifest的粗略检测
  • 付费功能绑定:持续监控、自动修复、策略引擎等核心能力需订阅
  • 无中央漏洞库:依赖各语言社区维护的漏洞数据库,时效性受制于原生工具更新
  • Windows支持有限:主要面向darwin/linux,win32为实验性支持

适合人群

  • 个人开发者:免费版满足一次性安全审计与许可证排查
  • 中小团队:Pro版Git Hooks方案在代码提交阶段拦截漏洞,成本低于Snyk/Dependabot商业版
  • 合规敏感企业:Team版SBOM与合规报告功能满足供应链安全审计要求

常规风险

  • 误报与漏报:原生审计工具存在已知误报率,高风险场景建议二次人工复核
  • 密钥管理:DEPGUARD_LICENSE_KEY需配置于本地配置文件,共享环境存在泄露风险
  • Hook覆盖冲突:与husky/lefthook等现有Git Hooks管理工具可能产生配置覆盖
  • 自动修复风险depguard fix可能引入破坏性更新,生产环境需谨慎启用

DepGuard 内容

config文件夹
scripts文件夹
手动下载zip · 17.6 kB
lefthook.ymltext/plain
请选择文件