跳至主要內容
>_ITDITD網站資安平台

相依套件漏洞掃描器

只需貼上 package.json、package-lock.json 或 pnpm-lock.yaml。每個 npm 套件都會與 OSV.dev(Google 營運的開放漏洞資料庫)進行比對,列出已知 CVE、嚴重程度以及修復版本。

解析全部在你的瀏覽器內完成。貼上的相依套件清單完全不經過本站伺服器,而是直接從你的瀏覽器傳送到 OSV.dev(CORS)。本站不會儲存、記錄或中轉這些資料。

貼上相依套件檔案並點擊「掃描」,結果會顯示在這裡。第一次使用?請點擊上方的「試用範例」。

使用方法

  1. 1

    貼上專案的 package.json,或 package-lock.json / pnpm-lock.yaml 的內容。

  2. 2

    點擊「掃描」後,每個套件都會與 OSV.dev 進行比對(lockfile 會判定實際鎖定的版本,package.json 則判定宣告的版本)。

  3. 3

    發現的漏洞依嚴重程度排序顯示。升級到修復版本,並可用下方的 AI 提示詞產生安全升級的步驟。

為什麼重要

相依函式庫是「不是你寫的、卻要由你負責的程式碼」。Log4Shell 和 XZ 的入口都只是一個相依套件。OSV.dev 將 GitHub Advisory 與各生態系統的安全公告彙整成一個開放的漏洞資料庫,可依 npm 套件名稱 + 版本查詢已知 CVE。準確度取決於輸入——lockfile(鎖定了實際安裝的版本)最為準確,package.json 則是從宣告的版本範圍推測,僅供參考。本工具適用於「此刻的一次性檢查」;日常的防護是在 CI 中整合自動化的相依套件稽核(GitHub Dependabot / `pnpm audit` / osv-scanner)。本站自身也在每次部署前執行相依套件稽核,始終保持已知漏洞為零。

常見問題

Q我貼上的相依套件清單會被傳送到什麼地方嗎?
A

不會傳送到本站。解析在你的瀏覽器內進行,比對是透過 HTTPS 從你的瀏覽器直接傳送到 OSV.dev(api.osv.dev)。本站絕不儲存、記錄或中轉這些資料。

Q應該貼上 package.json 還是 lockfile?
A

若追求準確,請使用 lockfile(package-lock.json 或 pnpm-lock.yaml):它反映實際安裝的鎖定版本,包括傳遞相依套件。package.json 是從宣告的版本範圍(^1.2.3 等)推測的,可作為快速參考。

Q顯示零漏洞就代表安全嗎?
A

不是。它無法偵測 OSV 尚未收錄的漏洞、設定錯誤以及你自己程式碼中的缺陷。這是針對已知 CVE 的初步檢查。持續的防護來自 CI 中的自動化稽核(Dependabot / pnpm audit / osv-scanner)。

Q支援哪些格式?
A

目前支援 npm 生態系統(package.json / package-lock.json / pnpm-lock.yaml)。yarn.lock 以及其他生態系統(PyPI、Go 等)尚不支援——OSV.dev 本身是支援多生態系統的,因此這是未來的擴充方向。

相關頁面