$ loading_
从资产识别、依赖审查到漏洞优先级判断,适合在多仓库批量升级前做一轮安全排查。
这组搭配专门面向多仓库依赖升级场景:先用 repo-scan 盘清各仓库第三方库与模块边界,再用 supply-chain-security 审查包管理与升级改动中的供应链风险,接着结合 VulnFeed 对依赖漏洞按真实风险与 EPSS 做优先级排序,最后由 secscan-mcp 补齐密钥、SAST、IaC 与依赖侧的横向检查。
适合用在升级前风险摸底、升级中差异复核,以及升级后回归安全检查,尤其适合仓库多、依赖杂、需要快速确定“先修什么”的团队。
Audit repository assets, detect third-party code, and generate module-level verdict reports.
└ Editor's note — 先盘点每个仓库的第三方库与模块关系,给多仓库升级建立统一资产视图。
Review dependency changes to reduce supply chain attacks and token leakage.
└ Editor's note — 聚焦依赖与包管理改动本身,识别投毒、凭证泄露与升级链路中的供应链风险。
Scan codebases for secrets, SAST issues, vulnerable dependencies, and IaC risks.
└ Editor's note — 补充扫描代码库中的依赖、密钥、SAST 与 IaC 风险,避免只盯版本号却漏掉旁路问题。