Dependa

Windows 依赖风险分析工具 — 漏洞、许可证与合规性，一次扫描全搞定。

🇯🇵 日本語版はこちら

## 问题所在 Copilot 向您的 `requirements.txt` 添加了三个包。您检查过许可证吗？Cursor 生成了一个 `package.json` — 这些传递性依赖项中是否有在 CVE 列表上的？ 在 AI 辅助编码的时代，您正在发布您未曾选择的依赖项。但风险依然由您承担。检查许可证意味着要手动交叉比对 SPDX 标识符。漏洞扫描意味着要逐个查询 OSV。生成 SBOM 意味着要配置另一个工具。而且依赖项明天又会发生变化。 大多数 SCA 工具都预设要有 CI pipeline 和 Linux 环境。许多实际项目并不具备这些 —— 它们存在于 Windows 机器上，由小团队或独立开发者构建。 **Dependa 在 Windows 本地运行，支持离线，直接给您答案。无需云端。无需账户。无需设置。** ## 功能特性 ### 扫描

- **Python** (pip), **NuGet** (.csproj / packages.config), **Node.js** (npm) - 针对捆绑的公告数据库进行漏洞匹配（Python 243 + NuGet 45 条公告）—— 无需网络 - 许可证分类：批准 / 注意 / 禁止 / 未知 - **许可证置信度评分**：高 / 中 / 低 / 冲突 - 脚本和浏览器扩展检查，识别外部引用 ### 报告

- 自包含 HTML —— 无外部 CSS/JS，打印整洁，支持离线 - CycloneDX 1.5 SBOM (JSON) - CSV 清单（固定 v1 schema）和 THIRD-PARTY-NOTICES.txt - 结构化提示词，可粘贴到 ChatGPT、Claude 或任何 LLM 以获取修复建议 ### 分析 (Pro)

- **许可证兼容性** — Apache-2.0 + GPL-2.0 专利条款冲突？专有项目中包含 Copyleft？检测并解释。 - **漏洞分诊** — 严重程度细分、受影响包、修复路径 - **风险评分** — 每个包 0-100 的量化评估 - **OSS 审查支持** — 建议措施、商业用途指导、组织审查清单 - **差异扫描** — 自上次扫描以来发生了什么变化 - **在线验证** — B+ 方法：根据在线注册表（PyPI, npm, NuGet）验证本地许可证定义 - **在线 OSV 查询** — 实时 CVE 数据，按需启用 ## 默认离线 除非您主动启用，否则不发送任何网络请求。漏洞匹配、许可证分类、策略检查、HTML 报告、SBOM —— 全部本地化，全部捆绑在内。 90 天后数据新鲜度警告 —— Dependa 会提示您内置数据可能已过时。 在线功能（OSV API, PyPI, npm, NuGet）确实存在。但在您开启之前，它们一直处于关闭状态。 ## CLI + GUI 同一个二进制文件。 ``` Dependa.exe # GUI Dependa.exe scan --path ./myproject --accept-terms # scan Dependa.exe scan --path ./myproject --export all --overwrite # export CSV + Notice + Review Dependa.exe scan --path ./myproject --ai-prompt vuln # AI fix prompt Dependa.exe scan --path ./myproject --lang en # English output ``` ``` Exit 0 Success Exit 2 Policy violation detected Exit 3 Pro license required ``` ## 免费版 vs Pro 版 **免费版** — Python + NuGet 扫描、本地漏洞匹配、带置信度评分的许可证分类、HTML 报告、SBOM、CSV 清单、许可证声明、脚本检查。回答：*我有问题吗？* **Pro 版** — 新增 Node.js、在线 OSV 查询、在线许可证验证（B+ 方法）、许可证兼容性分析、漏洞分诊、风险评分、OSS 审查支持、差异扫描、审查报告导出。回答：*有多严重，先修哪个，怎么回复审查员？* 通过 Microsoft Store 一次性购买。 ## 安装 **[Microsoft Store](https://apps.microsoft.com/detail/9P84RLQQ401D)** — 自动更新，自包含，无需运行时。 ## 文档 **[用户手册](https://dependa.sumikkolab.com/manual/)** — 入门指南、扫描、报告、CLI 参考、Pro 功能及故障排除。 ## 语言 日语和英语。UI、报告、CLI 输出 —— 一键切换。包含许可证标签、风险等级和审查指导在内的完整日语本地化。 ## 隐私 无遥测。无分析。无账户。[隐私政策](https://dependa.sumikkolab.com/privacy-policy.html)。 ## 路线图 Java (Maven/Gradle) 和 Go (go.mod) 是下一步。Star 数量决定优先级。 本项目积极维护但非社区管理。无 PR 审查，无功能谈判。如果遇到 Bug 请提 Issue —— 我们会看。 ## 许可证 专有软件。免费版无需费用。[Sumikko Lab](https://dependa.sumikkolab.com)。第三方许可证：请参阅 [ThirdPartyNotices](https://dependa.sumikkolab.com/manual/licensing.html)。

标签：AI辅助修复, Claude, CVE检测, GNU通用公共许可证, GUI应用, LLM防护, .NET 8, Node.js, npm, NuGet, OSV数据库, pip, Python, SBOM生成, 个人开发者, 依赖风险分析, 后端开发, 文档结构分析, 无后门, 本地安全, 离线安全工具, 许可证合规