无需登录 数据私有 本地保存

前端NPM依赖风险检查器 - 基于公开漏洞库

14
0
0
0

NPM 依赖风险检查器

基于 OSV.dev 公开漏洞库 · 实时检查 npm 包已知安全漏洞 · 支持单个与批量查询

支持语义化版本,自动清理 ^ ~ 等前缀
示例: lodash@4.17.15 含已知漏洞
尚未解析依赖

输入包名和版本号,点击"检查漏洞"开始扫描

数据来源: OSV.dev 公开漏洞数据库
0
检查包数
0
发现漏洞
0
安全包
0
严重/高危
常见问题与知识点

这是一个基于公开漏洞数据库的在线工具,帮助开发者快速检查项目中的 npm 依赖是否存在已知安全漏洞。只需输入包名和版本号,即可获取该版本是否存在 CVE、GHSA 等公开漏洞信息,并获取修复版本建议。

数据来源于 OSV.dev(Open Source Vulnerabilities),这是一个由 Google 维护的开源漏洞数据库聚合服务,整合了 GitHub Advisory Database (GHSA)、NPM Advisory、CVE 等多个权威来源。数据实时同步,确保你获取的是最新漏洞信息。

CRITICAL(严重):CVSS 9.0-10.0,可导致远程代码执行、权限提升等,需立即修复。
HIGH(高危):CVSS 7.0-8.9,可能导致数据泄露、拒绝服务等严重问题。
MODERATE(中危):CVSS 4.0-6.9,影响范围有限,但仍建议尽快修复。
LOW(低危):CVSS 0.1-3.9,影响较小,可安排在日常迭代中修复。

首先查看漏洞详情中的修复版本(fixed version),将依赖升级到该版本或更高版本。如果暂无修复版本,可考虑:1) 寻找替代包;2) 评估漏洞是否可被利用;3) 关注该包的更新动态。建议在项目中运行 npm audit 获取更详细的修复指导。

^1.2.3 表示兼容 1.x.x(>=1.2.3 且 <2.0.0),~1.2.3 表示兼容 1.2.x(>=1.2.3 且 <1.3.0)。本工具会自动清理这些前缀,使用基础版本号进行漏洞查询,确保结果准确。

devDependencies 通常只在开发环境使用,不会直接部署到生产环境。但如果漏洞涉及构建工具(如 webpack、vite)或测试框架,可能影响 CI/CD 流程安全性。建议根据实际风险评估是否需要修复,一般在 CI 中集成 npm audit --production 只检查生产依赖。

建议在每次 CI/CD 构建时自动运行检查,或至少每周检查一次。推荐在项目中配置 npm audit 或集成 DependabotSnyk 等工具,实现自动化持续监控。新漏洞每天都在被发现,定期检查是保障项目安全的关键。

1) 使用 npm audit 命令行工具;2) 在 CI 中添加 npm audit --audit-level=high 并在发现高危漏洞时中断构建;3) 集成 GitHub Dependabot 自动提交修复 PR;4) 使用 Snyk、Socket.dev 等专业安全平台获得更全面的分析和修复建议。
🔧 相关工具