在家写代码、做项目,时间自由了,但麻烦也不少。比如装了个新库,结果跑不起来,查来查去才发现是某个依赖版本冲突;或者用了有安全漏洞的包,自己还蒙在鼓里。这些问题,靠肉眼检查根本不现实。这时候,一个靠谱的依赖扫描工具就特别实用,就像家里装个烟雾报警器,平时不起眼,关键时候能救命。
Snyk:开发者口碑不错的安全卫士
很多人一开始接触依赖扫描,是从 Snyk 开始的。它支持 JavaScript、Python、Java、Go 等主流语言,不仅能告诉你项目里有哪些第三方包,还能联网查出这些包有没有已知漏洞。注册后免费账户就够个人项目用。我朋友写了个小工具部署到树莓派上,Snyk 提醒他用的 Express 版本有个远程执行漏洞,及时升级后才算安心。
Dependabot:GitHub 家的自动更新小能手
如果你把代码托管在 GitHub 上,Dependabot 免费又省心。它会定期扫描你的依赖文件(比如 package.json 或 requirements.txt),一旦发现新版本或安全问题,自动生成 Pull Request。我媳妇儿做个博客项目,用了老版本的 lodash,Dependabot 主动提了个 PR 帮她升级,顺带写了更新说明,点一下合并就行,连命令行都不用开。
npm audit 与 yarn audit:自带的工具别忽视
如果你用 Node.js,其实不用额外装工具也能初步排查。项目根目录下运行:
npm audit或者
yarn audit就能看到依赖链里的安全问题。虽然报告不如专业工具详细,但胜在方便。有次我在家调试一个旧项目,随手跑了一下 npm audit,发现有两个中危漏洞,花十分钟修完,心里踏实多了。
OWASP Dependency-Check:适合 Java 和混合项目
如果家里接的活儿涉及 Java 或 Android 开发,这个开源工具很实用。它能扫描 JAR、WAR 文件,甚至 Docker 镜像,找出包含已知漏洞的组件。配置一次之后,可以加到本地脚本里定期跑。我自己搭了个家庭记账小系统,后端是 Spring Boot,每次打包前让它扫一遍,确保不会因为一个小包引来大问题。
工具再好,也得养成定期检查的习惯。就像家里电器要维护,代码依赖也不能一劳永逸。挑一个顺手的工具,集成进日常流程,省下的不只是时间,还有半夜被警告邮件吵醒的烦恼。