Saltar al contenido
>_ITDITDPlataforma de seguridad web

Escáner de vulnerabilidades de dependencias

Pega un package.json, package-lock.json o pnpm-lock.yaml. Cada paquete npm se comprueba contra OSV.dev (la base de datos abierta de vulnerabilidades de Google) y se coteja con CVE conocidos, junto con la gravedad y la versión corregida.

Todo el análisis ocurre en tu navegador. Tu lista de dependencias pegada nunca pasa por el servidor de este sitio: va directamente desde tu navegador a OSV.dev (CORS). Este sitio no la almacena, registra ni retransmite.

Pega un archivo de dependencias y pulsa «Escanear» para ver los resultados aquí. ¿Primera vez? Pulsa «Probar un ejemplo» arriba.

Cómo usarla

  1. 1

    Pega el package.json de tu proyecto, o el contenido de package-lock.json / pnpm-lock.yaml.

  2. 2

    Pulsa «Escanear» para comprobar cada paquete contra OSV.dev (un lockfile da las versiones exactas fijadas; package.json las infiere a partir de los rangos declarados).

  3. 3

    Los hallazgos se muestran por gravedad. Actualiza a la versión corregida y genera un prompt de IA más abajo para hacerlo de forma segura.

Por qué importa

Las dependencias son código que no escribiste pero del que eres responsable. Tanto Log4Shell como XZ entraron a través de una sola dependencia. OSV.dev agrega los GitHub Advisories y los avisos de cada ecosistema en una base de datos abierta de vulnerabilidades que puedes consultar por nombre de paquete npm + versión. La precisión depende de la entrada: un lockfile (versiones exactas instaladas) es lo más preciso; package.json es una estimación a partir de los rangos declarados. Esta herramienta sirve para una comprobación puntual ahora mismo; tu defensa duradera es la auditoría automatizada de dependencias en CI (GitHub Dependabot / `pnpm audit` / osv-scanner). Este propio sitio ejecuta una auditoría de dependencias antes de cada despliegue y mantiene los avisos conocidos en cero.

Preguntas frecuentes

Q¿Se envía mi lista de dependencias pegada a algún lugar?
A

A este sitio no. El análisis ocurre en tu navegador, y la comprobación se hace directamente desde tu navegador a OSV.dev (api.osv.dev) por HTTPS. Este sitio nunca la almacena, registra ni retransmite.

Q¿Debo pegar package.json o un lockfile?
A

Para mayor precisión, usa un lockfile (package-lock.json o pnpm-lock.yaml): refleja las versiones exactas instaladas, incluidas las dependencias transitivas. package.json es una estimación a partir de los rangos declarados (^1.2.3, etc.), útil como una referencia rápida.

QSi muestra cero vulnerabilidades, ¿estoy a salvo?
A

No. No puede detectar vulnerabilidades que aún no estén en OSV, errores de configuración ni fallos en tu propio código. Esta es una comprobación inicial de CVE conocidos. La protección continua proviene de la auditoría automatizada en CI (Dependabot / pnpm audit / osv-scanner).

Q¿Qué formatos se admiten?
A

Actualmente el ecosistema npm (package.json / package-lock.json / pnpm-lock.yaml). yarn.lock y otros ecosistemas (PyPI, Go, etc.) aún no se admiten; el propio OSV.dev es multiecosistema, así que es un candidato para más adelante.

Páginas relacionadas