the-ai-entrepreneur-ai-hub/depguard

GitHub: the-ai-entrepreneur-ai-hub/depguard

DepGuard 基于 OSV.dev 数据库扫描项目依赖漏洞,并交叉比对 CISA KEV 目录以标记正在被实际利用的高危漏洞,帮助团队按优先级修复。

Stars: 0 | Forks: 0

# DepGuard — 依赖漏洞扫描器 扫描您的项目依赖项以查找已知漏洞,并找出攻击者当前正在实际利用的漏洞。 DepGuard 会根据 [OSV.dev](https://osv.dev) 咨询数据库检查每个软件包,然后将每项发现与 [CISA 已知被利用漏洞](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)目录进行交叉比对。大多数扫描器只会给您抛出一大堆毫无区分度的 CVE。而 DepGuard 会告诉您哪些漏洞正在野外被实际利用,让您优先修补那些危险的漏洞。 无需 API 密钥。在 [Apify](https://apify.com/george.the.developer/depguard-dependency-vulnerability-scanner) 上作为批量任务或常驻 API 运行。 ## 工作原理 ``` flowchart LR A[Packages or lockfile] --> B[DepGuard] B --> C{For each dependency} C --> D[OSV.dev query] D --> E[Advisories, CVSS, fixed version] E --> F[Cross-reference CISA KEV] F --> G{Actively exploited?} G -- yes --> H[Flag kev_exploited + ransomware/due date] G -- no --> I[Normal vulnerability row] H --> J[Normalized JSON rows] I --> J ``` ## 输入 提供依赖项的三种方式: 1. **软件包列表** — `packages: [{ "name": "lodash", "version": "4.17.15", "ecosystem": "npm" }]` 2. **Lockfile** — 将 `package-lock.json` 或 `requirements.txt` 粘贴到 `lockfile` 中并指定 `lockfileType`。每个锁定的依赖项都会被扫描。 3. **单个软件包** — 提供 `name`、`version`、`ecosystem` 用于一次性检查。 支持的生态系统:npm、PyPI、Go、Maven、RubyGems、crates.io、NuGet、Packagist 等(涵盖 OSV 索引的任何内容)。 ## 输出 ``` { "package": "org.apache.logging.log4j:log4j-core", "version": "2.14.1", "ecosystem": "Maven", "vuln_id": "GHSA-7rjr-3q55-vv33", "cves": ["CVE-2021-45046"], "severity": "CRITICAL", "fixed_version": "2.12.2", "fixed_versions": ["2.16.0", "2.12.2"], "kev_exploited": true, "kev_known_ransomware": true, "references": ["https://github.com/advisories/GHSA-7rjr-3q55-vv33"] } ``` ## 用例 - **CI 门禁** — 在每次构建时扫描 lockfile,并在存在任何被积极利用 (KEV) 的漏洞时使构建失败。 - **Agent 工具** — AI 编码 Agent 通过 MCP 调用 DepGuard,以便在添加依赖项之前对其进行审查。 - **组合审计** — 接收来自多个仓库的软件包,并生成一张标准化的漏洞表格。 ## 定价 按事件付费:每次批量运行 $0.25,每个扫描的软件包 $0.01,每个发现的漏洞 $0.02,每个被积极利用的匹配项 $0.05。安全的软件包仅收取扫描费用。 ## 运行方式 [Apify Store 上的 DepGuard →](https://apify.com/george.the.developer/depguard-dependency-vulnerability-scanner) ## 数据源 [OSV.dev](https://osv.dev)(开放漏洞数据库)和 [CISA KEV 目录](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)。两者均为公开且免费,并被标准化为统一的格式。
标签:CISA项目, Homebrew安装, 依赖扫描, 威胁情报, 开发者工具, 模型提供商, 网络调试, 自动化, 软件成分分析(SCA)