sabrinahaniff/npm-scanner

 # N坎纳 一个 CLI 工具，使用 [OSV database](https://osv.dev) 扫描你的 `package.json` 中的已知漏洞——无需 API key。 ## 安装 ``` npm install -g @sabrinahaniff/npm-scanner ``` ## 使用方法 ### 扫描项目 ``` npm-scanner scan ./package.json ``` ### 仅显示高危和严重漏洞 ``` npm-scanner scan ./package.json --severity high ``` ### 自动修复有漏洞的包 ``` npm-scanner scan ./package.json --fix ``` ### 输出为 JSON ``` npm-scanner scan ./package.json --json ``` ## 示例输出 ``` Scanning: ./package.json Found 5 packages. Checking OSV database... lodash@4.17.15 GHSA-29mw-wpgm-hmr9 HIGH Prototype Pollution in lodash https://osv.dev/vulnerability/GHSA-29mw-wpgm-hmr9 ────────────────────────────────────────────────── Summary: 3 HIGH · 14 LOW ``` ## 限制 - 仅扫描 `dependencies` 和 `devDependencies`——暂不扫描 `package-lock.json` 中的传递性依赖 - OSV 数据库中并非每个 CVE 都有严重性数据 - `--fix` 会重写 `package.json`，但不会自动运行 `npm install` - 尚不支持包含多个 `package.json` 文件的 monorepo ## 数据来源 所有漏洞数据均来自 Google 的开源漏洞数据库 [osv.dev](https://osv.dev)。

标签：CVE, GNU通用公共许可证, MITM代理, Node.js, npm, OSV, package.json, Vercel, 云安全监控, 依赖管理, 包管理器, 数字签名, 文档结构分析, 暗色界面, 统一API, 自动修复, 自定义脚本, 静态分析