$ loading_
实时检查软件依赖的漏洞、弃用状态与安全风险,辅助安全选型与维护。
DepGuard 为开源 MIT 许可的 MCP 工具,材料中未显示需要密钥或声明远程端点,整体未见明显高风险红旗。其主要留意点在于作为 MCP 服务会在本机执行,并可能使用本地缓存/依赖数据,且项目社区采用度与维护情况证据较弱。
材料明确注明“需要的密钥/环境变量:无”,未见要求 API key、token 或其他敏感凭证,因此凭证泄露与滥用面较小。
已声明“远程端点 host:无”。虽然描述提到对照漏洞数据库与弃用元数据进行检查,但材料未列出任何实际外联主机,也未显示会将用户数据发送到第三方端点。
系统检查项已标记 executes-code,说明其作为 MCP 工具需要在本机运行服务/代码。就此类工具的常规能力而言应视为需留意,但材料未显示超出声明功能的危险系统权限申请。
描述提到会使用“local cache”进行依赖安全检查,意味着至少可能读取/写入本地缓存或处理本地依赖信息。当前材料未显示更广泛的数据访问范围,也未见明显过度授权迹象。
正面因素是其开源且采用 MIT 许可证,可进行代码审计;但来源为 third_party_registry,GitHub 社区采用度仅 0 star,维护状态未知,README 缺失,供应链透明度与成熟度证据有限,因此建议审慎引入。
复制安装指令,让 AI 自动完成配置 · 推荐新手
"DepGuard" 暂无可直接复制的安装信息,请查看页面文档或源码仓库。
请检查 npm 包 axios 的安全状态,验证是否存在已知漏洞、是否已弃用,并总结使用风险与替代建议。
返回该依赖的漏洞信息、弃用状态、风险等级,以及是否建议继续使用或替换。
请扫描以下项目依赖列表的安全性,标出高风险包、已弃用包,并按优先级给出处理建议:react、lodash、request、moment。
输出包含问题依赖清单、风险分级、优先处理顺序及替代或升级建议的摘要。
在发布前检查当前服务依赖是否包含已知漏洞或弃用组件,并生成一份适合工程团队处理的简要报告。
生成面向工程团队的发布前依赖安全报告,说明阻塞项、警告项与建议措施。
帮助检测并拦截恶意开源包,保护 AI 代理和 IDE 安全。