$ loading_
从资产识别、依赖审查到漏洞优先级判断,适合在多仓库批量升级前做一轮安全排查。
这组搭配专门面向多仓库依赖升级场景:先用 repo-scan 盘清各仓库第三方库与模块边界,再用 supply-chain-security 审查包管理与升级改动中的供应链风险,接着结合 VulnFeed 对依赖漏洞按真实风险与 EPSS 做优先级排序,最后由 secscan-mcp 补齐密钥、SAST、IaC 与依赖侧的横向检查。
适合用在升级前风险摸底、升级中差异复核,以及升级后回归安全检查,尤其适合仓库多、依赖杂、需要快速确定“先修什么”的团队。
扫描代码仓库资产并识别第三方库,生成模块级风险结论与交互报告
└ 小编点评 — 先盘点每个仓库的第三方库与模块关系,给多仓库升级建立统一资产视图。
帮助审查依赖与包管理改动,降低供应链投毒与凭证泄露风险
└ 小编点评 — 聚焦依赖与包管理改动本身,识别投毒、凭证泄露与升级链路中的供应链风险。
扫描依赖漏洞并结合EPSS评分,帮助团队快速识别高风险安全问题。
└ 小编点评 — 把依赖漏洞与 EPSS 风险结合,帮助你在一堆升级告警里优先处理最危险的项。
扫描代码库中的密钥、依赖、SAST 与 IaC 安全风险,辅助开发与运维快速排查漏洞。
└ 小编点评 — 补充扫描代码库中的依赖、密钥、SAST 与 IaC 风险,避免只盯版本号却漏掉旁路问题。