cuttalo/depscope

## 为什么选择 DepScope AI 编程 agent 每天每秒都在推荐软件包。它们会： - 凭空捏造不存在的包名。 - 推荐已经停止维护数年的废弃包。 - 对最新披露的 CVE 一无所知。 - 从过时的训练数据中猜测版本号。 - 数以百万次地重复搜索相同的运行时错误。 - 在不知道组合是否在真实环境中可用的情况下盲目升级版本。 它们还**各自独立地做着相同的工作**——对 npm、PyPI、OSV 发起数以百万计的冗余请求以获取相同的字节数据。这是对带宽、能源和 token 的极大浪费。 DepScope 提供了共享的解决方案：聚合一次，在几毫秒内提供给所有人。 ### 三大支柱 | 支柱 | 含义 | |--------|----------------| | **节省 Token** | `/api/prompt/{eco}/{pkg}` 返回对 LLM 友好的纯文本——比原始注册表 JSON 减少约 74% 的 input token。 | | **节省能源** | 这里的一次缓存命中，可以替代数千次对公共注册表的冷获取。更少的计算量、更少的带宽、更低的碳足迹。 | | **安全性** | OSV + CISA KEV + EPSS 富化、OpenSSF Scorecard、恶意软件包标记、误植域名（typosquat）检测、维护者信任度——全部在一次调用中完成。 | ## 快速开始 ``` # 一次性健康检查（人类可读 JSON） curl https://depscope.dev/api/check/npm/express # LLM 优化的纯文本（直接放入 model context） curl https://depscope.dev/api/prompt/npm/express ``` 无需认证。无需注册。无需 API key。免费层每分钟 200 次请求。 ## 17 个生态系统，单一端点 ``` curl https://depscope.dev/api/check/{ecosystem}/{package} ``` | 语言 | 生态系统 | 软件包 | 示例 | |----------|-----------|---------:|---------| | JavaScript / Node | `npm` | 12.708 | `/api/check/npm/express` | | Python | `pypi` | 4.731 | `/api/check/pypi/django` | | Rust | `cargo` | 4.170 | `/api/check/cargo/tokio` | | Perl | `cpan` | 2.683 | `/api/check/cpan/DateTime` | | Ruby | `rubygems` | 1.469 | `/api/check/rubygems/rails` | | PHP | `composer` | 917 | `/api/check/composer/laravel/framework` | | R | `cran` | 733 | `/api/check/cran/dplyr` | | .NET / C# | `nuget` | 719 | `/api/check/nuget/Newtonsoft.Json` | | macOS CLI | `homebrew` | 603 | `/api/check/homebrew/git` | | Java / Kotlin | `maven` | 503 | `/api/check/maven/org.springframework.boot/spring-boot-starter` | | Dart / Flutter | `pub` | 460 | `/api/check/pub/http` | | Go | `go` | 429 | `/api/check/go/github.com/gin-gonic/gin` | | Elixir | `hex` | 302 | `/api/check/hex/ecto` | | Haskell | `hackage` | 300 | `/api/check/hackage/lens` | | iOS | `cocoapods` | 139 | `/api/check/cocoapods/AFNetworking` | | 数据科学 | `conda` | 127 | `/api/check/conda/scipy` | | Swift | `swift` | 61 | `/api/check/swift/vapor` | **总计：31,054 个软件包，2,282 个被跟踪的漏洞，595 个精选替代方案。** ## 端点概览 完整参考：[depscope.dev/api-docs](https://depscope.dev/api-docs) · OpenAPI 位于 `/openapi.json` · Swagger UI 位于 `/docs`。 ### 软件包智能分析 | 端点 | 用途 | |----------|---------| | `GET /api/check/{eco}/{pkg}` | 完整的健康报告（默认调用）。 | | `GET /api/prompt/{eco}/{pkg}` | 针对 LLM 优化的纯文本，减少约 74% 的 token。 | | `GET /api/latest/{eco}/{pkg}` | 最新版本。快速路径。 | | `GET /api/exists/{eco}/{pkg}` | 是否存在。防止幻觉。 | | `GET /api/search/{eco}?q=...` | 跨生态系统的关键字搜索。 | | `GET /api/alternatives/{eco}/{pkg}` | 精选的替代建议。 | | `GET /api/compare/{eco}/{a},{b},{c}` | 并排比较（最多 10 个）。 | | `GET /api/vulns/{eco}/{pkg}` | 漏洞（+ CISA KEV + EPSS 富化信息）。 | | `GET /api/typosquat/{eco}/{pkg}` | 此名称是否为热门包的误植域名（typosquat）？ | | `GET /api/malicious/{eco}/{pkg}` | OpenSSF 恶意软件包标记。 | | `GET /api/scorecard/{eco}/{pkg}` | OpenSSF Scorecard 0-10 分。 | | `GET /api/quality/{eco}/{pkg}` | 综合质量信号。 | | `GET /api/maintainers/{eco}/{pkg}` | 巴士因子（Bus factor）、所有权变更、作者主导度。 | | `GET /api/provenance/{eco}/{pkg}` | Sigstore / PEP 740 证明。 | | `GET /api/license/{eco}/{pkg}` | 许可证分类 + 商业安全性。 | | `GET /api/health/{eco}/{pkg}` | 快速的 0-100 评分。 | | `GET /api/history/{eco}/{pkg}` | 90 天健康趋势。 | | `GET /api/tree/{eco}/{pkg}` | 带有各节点健康状况的传递依赖。 | | `POST /api/scan` | 一次性审计完整的依赖清单。 | ### 垂直领域 | 端点 | 用途 | |----------|---------| | `GET /api/error?code=X` | 查找已知的运行时错误代码。 | | `POST /api/error/resolve` | POST 堆栈跟踪 → 获取带有包上下文的已验证修复方案。 | | `GET /api/bugs/{eco}/{pkg}` | 每个版本的非 CVE 已知 Bug。 | | `GET /api/compat?packages=next@16,react@19,prisma@6` | 此组合是否为经过验证的可运行技术栈？ | | `GET /api/breaking/{eco}/{pkg}` | 版本间的破坏性更改。 | | `GET /api/migration/{eco}/{from}/{to}` | 从 A 到 B 的迁移路径。 | ### 实用工具 `GET /api/trending` · `GET /api/now` · `GET /api/ecosystems` · `GET /api/stats` · `GET /api/savings` · `GET /badge/{eco}/{pkg}` (SVG 评分徽章)。 ## 从你的 AI agent 中使用 DepScope ### 单行 agent 规则 **Claude Code** — 在 `CLAUDE.md` 中： ``` ## DEPSCOPE — 在任何安装之前：curl depscope.dev/api/check/{eco}/{pkg} ``` **Cursor** — 在 `.cursorrules` 中： ``` Before any install: curl depscope.dev/api/check/{eco}/{pkg} — no auth, free ``` **Windsurf / Copilot / Aider** — 相同的模式，在规则文件中写入一行。 **ChatGPT** — 在 GPT Store 中搜索 "DepScope"。 ### MCP — 29 个工具，零安装 添加到你的 Claude Desktop / Cursor / Windsurf 配置中： ``` { "mcpServers": { "depscope": { "url": "https://mcp.depscope.dev/mcp" } } } ``` 或者在本地安装 stdio 传输层： ``` npm install -g depscope-mcp ``` 工具面板（29 个工具，很快将精简至 15-18 个）： `ai_brief`, `audit_stack`, `get_migration_path`, `check_package`, `get_health_score`, `get_vulnerabilities`, `get_latest_version`, `package_exists`, `get_package_prompt`, `compare_packages`, `scan_project`, `find_alternatives`, `get_breaking_changes`, `get_known_bugs`, `check_compatibility`, `resolve_error`, `search_errors`, `check_malicious`, `check_typosquat`, `get_scorecard`, `get_maintainer_trust`, `get_quality`, `get_provenance`, `get_trending`, `report_anomaly`, `contact_depscope`, `check_bulk`, `install_command`, `pin_safe`。 ## 响应示例 ``` { "package": "express", "ecosystem": "npm", "latest_version": "5.2.1", "health": { "score": 85, "risk": "low", "breakdown": { "maintenance": 25, "security": 25, "popularity": 20, "maturity": 15, "community": 10 } }, "vulnerabilities": { "count": 0 }, "recommendation": { "action": "safe_to_use", "summary": "express@5.2.1 is safe to use (health: 85/100)" } } ``` ## 健康评分（算法生成，0-100 分） 纯数学计算，关键路径中没有 LLM。几毫秒内运行完成。 | 信号 | 最高分 | 来源 | |--------|:---:|--------| | 维护性 | 25 | 距离上次发布的天数。 | | 安全性 | 25 | 来自 OSV 的 CVE，已过滤至最新版本。 | | 流行度 | 20 | 注册表上的每周下载量。 | | 成熟度 | 15 | 总版本数。 | | 社区 | 15 | 维护者数量 + GitHub 星标数。 | **关键细节**：我们仅展示实际影响最新版本的漏洞。Django 从 272 个历史“漏洞”缩减为仅包含今天仍然有影响的那些。 31,000 个已索引软件包的当前平均健康得分：**60 / 100**。 ## 自行托管 DepScope 采用 MIT 协议。你所需的一切都在本仓库中： - **API**: FastAPI (Python 3.13) — `api/main.py` + `api/registries.py`。 - **Frontend**: Next.js 16 — `frontend/`。 - **DB**: PostgreSQL 17，schema 位于 `api/database.py`。 - **MCP**: Node 20 — `mcp-server/`。 - **Cron**: 36 个计划任务，列在 `CLAUDE.md` 第 4 节中。 - **Backups**: `scripts/full_backup.sh` — pg_dump + tarball + restic 至 S3。 Stage 镜像在不同的端口上并行运行，受 HTTP basic auth 保护（参见 `ecosystem.stage.config.js`）。 ## 生态系统 - **MCP Remote** (29 个工具，零安装): `https://mcp.depscope.dev/mcp` - **MCP Server** (stdio): npm 上的 [`depscope-mcp`](https://www.npmjs.com/package/depscope-mcp) - **ChatGPT GPT**: 在 GPT Store 中搜索 "DepScope" - **RapidAPI**: [hub 列表](https://rapidapi.com/depscope/api/depscope) - **OpenAPI Spec**: [depscope.dev/openapi.json](https://depscope.dev/openapi.json) - **AI Plugin Manifest**: [depscope.dev/.well-known/ai-plugin.json](https://depscope.dev/.well-known/ai-plugin.json) - **llms.txt**: [depscope.dev/llms.txt](https://depscope.dev/llms.txt) ## 技术栈 FastAPI · PostgreSQL 17 · Redis · Next.js 16 · Node 20 · Python 3.13 · Proxmox 9。 由 [Cuttalo srl](https://cuttalo.com) 运营。反馈：depscope@cuttalo.com。 ## 许可证 MIT — 详见 [LICENSE](LICENSE)。

标签：AI智能体, API, Cilium, CVE, DLL 劫持, LLM优化, MCP, NPM, PyPI, WebSocket, 人工智能, 代码助手, 代码安全, 依赖分析, 依赖安全, 免费API, 包智能, 包管理, 大语言模型, 威胁情报, 开发者工具, 开源生态, 搜索引擎查询, 数字签名, 无认证, 模型上下文协议, 漏洞枚举, 生态兼容, 用户模式Hook绕过, 软件供应链安全, 远程方法调用, 避免幻觉, 降低Token, 集成开发