DarnOsint/dep-guard

GitHub: DarnOsint/dep-guard

一款基于 OSV 数据库的轻量级依赖漏洞扫描 CLI 工具,支持 npm 和 pip,可无缝集成到 CI/CD 流水线中在构建阶段拦截风险组件。

Stars: 0 | Forks: 0

# 🛡️ dep-guard [![npm version](https://img.shields.io/badge/npm-1.0.0-blue.svg)](https://www.npmjs.com/package/dep-guard) [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](LICENSE) [![Node.js](https://img.shields.io/badge/node-%3E%3D14-brightgreen.svg)](https://nodejs.org) [![Powered by OSV](https://img.shields.io/badge/data-OSV%20Database-green.svg)](https://osv.dev) ## ✨ 功能 - **npm 支持** — 扫描 `package.json` (dependencies + devDependencies) - **pip 支持** — 扫描 `requirements.txt` - **自动检测** — 在当前目录中查找所有依赖文件 - **OSV 数据库** — 使用 Google 的 [Open Source Vulnerability](https://osv.dev) 数据库(100% 免费,无需 API key) - **严重性评级** — CRITICAL、HIGH、MEDIUM、LOW,带有颜色编码 - **修复建议** — 显示要升级到的最低安全版本 - **JSON 输出** — 用于 CI pipeline 的机器可读输出 - **CI 模式** — 如果发现漏洞,则以代码 1 退出 - **严重性过滤** — `--min-severity HIGH` 以专注于严重问题 ## 📦 安装 ``` npm install -g dep-guard ``` ## 🚀 使用方法 ``` # 扫描当前目录(自动检测 package.json + requirements.txt) dep-guard # 仅扫描 HIGH 和 CRITICAL 漏洞 dep-guard --min-severity HIGH # 扫描特定文件 dep-guard --file ./path/to/package.json # JSON 输出(适合管道传输) dep-guard --json | jq '.vulnerabilities[] | select(.severity == "CRITICAL")' # CI 模式 —— 若发现任何漏洞则以代码 1 退出 dep-guard --ci # 结合 CI 模式与严重程度过滤 dep-guard --ci --min-severity HIGH ``` ## 📊 示例输出 ``` ┌────────────────────────────────────────┐ │ dep-guard — Dependency Scanner │ └────────────────────────────────────────┘ Scanning package.json... ✓ Checked 124 packages, found 3 vulnerability(s) CRITICAL lodash@4.17.15 GHSA-p6mc-m468-83gw Prototype Pollution in lodash Fix: Upgrade to 4.17.21 https://github.com/advisories/GHSA-p6mc-m468-83gw HIGH axios@0.21.1 GHSA-42xw-2xvc-qx8m Server-Side Request Forgery in axios Fix: Upgrade to 0.21.2 ── Summary ───────────────────────────── CRITICAL 1 vulnerability(s) HIGH 2 vulnerability(s) ``` ## 🔧 CI 集成 添加到你的 GitHub Actions workflow: ``` - name: Check for vulnerabilities run: npx dep-guard --ci --min-severity HIGH ``` ## 📝 许可证 MIT — 详见 [LICENSE](LICENSE) ## 💖 支持本项目 如果此工具对你有帮助,请考虑捐赠以支持持续开发: - **Solana (SOL):** `DScse4Skd1JpW3sc7RrdMeJdZVkUpXw6X98B28Uv9Gmp` - **Bitcoin (BTC):** `bc1pzwa89e05x3ym25729tdduc0t77ktpe2xf24mwlw6ryamx3dz6v9q478eul` 每一份捐赠都很重要。谢谢! 🙏
标签:API安全, Cilium, DevSecOps, GNU通用公共许可证, GPT, IPv6支持, JSON输出, MITM代理, Node.js, NPM, OSV, PIP, Python, Severity Ratings, Vercel, 上游代理, 依赖安全, 加密, 子域名暴力破解, 文档结构分析, 无后门, 暗色界面, 漏洞扫描器, 漏洞管理, 自动化检测, 自定义脚本, 软件开发工具包