Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web

Scanner de vulnerabilidades de dependências

Cole um package.json, package-lock.json ou pnpm-lock.yaml. Cada pacote npm é verificado contra o OSV.dev (o banco de dados aberto de vulnerabilidades do Google) e cruzado com CVEs conhecidos, junto com a gravidade e a versão corrigida.

Toda a análise acontece no seu navegador. Sua lista de dependências colada nunca passa pelo servidor deste site — ela vai direto do seu navegador ao OSV.dev (CORS). Este site não a armazena, registra nem retransmite.

Cole um arquivo de dependências e toque em «Escanear» para ver os resultados aqui. Primeira vez? Toque em «Testar um exemplo» acima.

Como usar

  1. 1

    Cole o package.json do seu projeto, ou o conteúdo de package-lock.json / pnpm-lock.yaml.

  2. 2

    Toque em «Escanear» para verificar cada pacote contra o OSV.dev (um lockfile fornece as versões exatas fixadas; o package.json as infere a partir dos intervalos declarados).

  3. 3

    Os achados são exibidos por gravidade. Atualize para a versão corrigida e gere um prompt de IA abaixo para fazer isso com segurança.

Por que importa

Dependências são código que você não escreveu, mas pelo qual é responsável. Tanto o Log4Shell quanto o XZ entraram por uma única dependência. O OSV.dev agrega os GitHub Advisories e os avisos de cada ecossistema em um banco de dados aberto de vulnerabilidades que você pode consultar por nome de pacote npm + versão. A precisão depende da entrada — um lockfile (versões exatas instaladas) é o mais preciso; o package.json é uma estimativa a partir dos intervalos declarados. Esta ferramenta serve para uma verificação pontual agora mesmo; sua defesa duradoura é a auditoria automatizada de dependências na CI (GitHub Dependabot / `pnpm audit` / osv-scanner). Este próprio site executa uma auditoria de dependências antes de cada deploy e mantém os avisos conhecidos em zero.

Perguntas frequentes

QMinha lista de dependências colada é enviada para algum lugar?
A

Para este site, não. A análise acontece no seu navegador, e a verificação é feita diretamente do seu navegador ao OSV.dev (api.osv.dev) por HTTPS. Este site nunca a armazena, registra nem retransmite.

QDevo colar o package.json ou um lockfile?
A

Para mais precisão, use um lockfile (package-lock.json ou pnpm-lock.yaml): ele reflete as versões exatas instaladas, incluindo as dependências transitivas. O package.json é uma estimativa a partir dos intervalos declarados (^1.2.3, etc.), útil como uma referência rápida.

QSe mostrar zero vulnerabilidades, estou seguro?
A

Não. Ele não consegue detectar vulnerabilidades que ainda não estão no OSV, erros de configuração nem falhas no seu próprio código. Esta é uma verificação inicial de CVEs conhecidos. A proteção contínua vem da auditoria automatizada na CI (Dependabot / pnpm audit / osv-scanner).

QQuais formatos são suportados?
A

Atualmente o ecossistema npm (package.json / package-lock.json / pnpm-lock.yaml). O yarn.lock e outros ecossistemas (PyPI, Go, etc.) ainda não são suportados; o próprio OSV.dev é multiecossistema, então é um candidato para mais adiante.

Páginas relacionadas