Сканер уязвимостей зависимостей
Вставьте package.json, package-lock.json или pnpm-lock.yaml. Каждый npm-пакет сверяется с OSV.dev (открытой базой уязвимостей от Google) и сопоставляется с известными CVE — с указанием серьёзности и исправленной версии.
Вставьте файл зависимостей и нажмите «Сканировать», чтобы увидеть результаты здесь. Впервые здесь? Нажмите «Попробовать пример» выше.
Как пользоваться
- 1
Вставьте package.json вашего проекта или содержимое package-lock.json / pnpm-lock.yaml.
- 2
Нажмите «Сканировать», чтобы сверить каждый пакет с OSV.dev (lockfile даёт точные зафиксированные версии; package.json выводит их из объявленных диапазонов).
- 3
Находки показаны по серьёзности. Обновитесь до исправленной версии и сгенерируйте промпт для ИИ ниже, чтобы сделать это безопасно.
Почему это важно
Частые вопросы
QОтправляется ли куда-нибудь вставленный список зависимостей?
Не на этот сайт. Разбор происходит в вашем браузере, а проверка выполняется напрямую из вашего браузера в OSV.dev (api.osv.dev) по HTTPS. Этот сайт никогда не хранит, не логирует и не проксирует его.
QЧто вставлять — package.json или lockfile?
Для точности используйте lockfile (package-lock.json или pnpm-lock.yaml): он отражает точные установленные версии, включая транзитивные зависимости. package.json — это оценка по объявленным диапазонам (^1.2.3 и т. п.), полезная как быстрый ориентир.
QЕсли показано ноль уязвимостей, я в безопасности?
Нет. Он не может обнаружить уязвимости, ещё не попавшие в OSV, ошибки конфигурации или дефекты в вашем собственном коде. Это первичная проверка на известные CVE. Непрерывная защита достигается автоматическим аудитом в CI (Dependabot / pnpm audit / osv-scanner).
QКакие форматы поддерживаются?
Сейчас — экосистема npm (package.json / package-lock.json / pnpm-lock.yaml). yarn.lock и другие экосистемы (PyPI, Go и т. п.) пока не поддерживаются — сам OSV.dev охватывает множество экосистем, так что это кандидат на будущее.