跳到正文
>_ITDITDWeb 安全平台

依赖包漏洞扫描器

只需粘贴 package.json、package-lock.json 或 pnpm-lock.yaml。每个 npm 包都会与 OSV.dev(Google 运营的开放漏洞数据库)进行比对,列出已知 CVE、严重程度以及修复版本。

解析全部在你的浏览器内完成。粘贴的依赖列表完全不经过本站服务器,而是直接从你的浏览器发送到 OSV.dev(CORS)。本站不会存储、记录或中转这些数据。

粘贴依赖文件并点击「扫描」,结果会显示在这里。第一次使用?请点击上方的「试用示例」。

使用方法

  1. 1

    粘贴项目的 package.json,或 package-lock.json / pnpm-lock.yaml 的内容。

  2. 2

    点击「扫描」后,每个包都会与 OSV.dev 进行比对(lockfile 会判定实际锁定的版本,package.json 则判定声明的版本)。

  3. 3

    发现的漏洞按严重程度排序显示。升级到修复版本,并可用下方的 AI 提示词生成安全升级的步骤。

为什么重要

依赖库是「不是你写的、却要由你负责的代码」。Log4Shell 和 XZ 的入口都只是一个依赖。OSV.dev 将 GitHub Advisory 与各生态系统的安全公告汇总成一个开放的漏洞数据库,可按 npm 包名 + 版本查询已知 CVE。准确度取决于输入——lockfile(锁定了实际安装的版本)最为准确,package.json 则是从声明的版本范围推测,仅供参考。本工具适用于「此刻的一次性检查」;日常的防护是在 CI 中集成自动化的依赖审计(GitHub Dependabot / `pnpm audit` / osv-scanner)。本站自身也在每次部署前运行依赖审计,始终保持已知漏洞为零。

常见问题

Q我粘贴的依赖列表会被发送到什么地方吗?
A

不会发送到本站。解析在你的浏览器内进行,比对是通过 HTTPS 从你的浏览器直接发送到 OSV.dev(api.osv.dev)。本站绝不存储、记录或中转这些数据。

Q应该粘贴 package.json 还是 lockfile?
A

若追求准确,请使用 lockfile(package-lock.json 或 pnpm-lock.yaml):它反映实际安装的固定版本,包括传递依赖。package.json 是从声明的版本范围(^1.2.3 等)推测的,可作为快速参考。

Q显示零漏洞就代表安全吗?
A

不是。它无法检测 OSV 尚未收录的漏洞、配置错误以及你自己代码中的缺陷。这是针对已知 CVE 的初步检查。持续的防护来自 CI 中的自动化审计(Dependabot / pnpm audit / osv-scanner)。

Q支持哪些格式?
A

目前支持 npm 生态系统(package.json / package-lock.json / pnpm-lock.yaml)。yarn.lock 以及其他生态系统(PyPI、Go 等)尚不支持——OSV.dev 本身是支持多生态系统的,因此这是未来的扩展方向。

相关页面