Tool Platform
Dependency Risk Explainer
Workspace
依赖风险解释器
搜索工具
网络安全
依赖风险解释器
从依赖清单中提取维护、版本、安全和供应链风险信号。
收藏
本地简单运行
运行方式
本地简单运行
标签
dependencies
supply-chain
risk
npm
package
工具标识
dependency-risk-explainer
Worker
无需启用
权限
无需额外权限
使用指南
开始使用
粘贴项目依赖清单,自动分析维护状态、版本健康度和已知安全风险。
使用步骤
粘贴 package.json、requirements.txt 或 Cargo.toml 等依赖文件。
查看维护状态、版本滞后度和安全风险。
根据建议升级有风险的依赖包。
使用例子
检查 npm 依赖是否包含已废弃的包。
分析 Python 依赖的已知 CVE 风险。
加载中
依赖风险解释器
工具微前端加载中。
依赖风险解释器 | Tool Platform
供应链风险
依赖风险解释器
从依赖清单中提取维护、版本、安全和供应链风险信号。
最低风险等级
低
中
高
依赖列表或 package.json
{ "dependencies": { "left-pad": "*", "legacy-auth": "0.8.1", "download-helper": "github:example/download-helper", "react": "^19.0.0" }, "devDependencies": { "build-plugin": "1.0.0-beta.2" }, "scripts": { "postinstall": "node scripts/bootstrap.js" } }
高风险
3
中风险
1
低风险
2
依赖
解释
left-pad
*
dependencies
高 / 3
版本未固定,供应链漂移风险高。
legacy-auth
0.8.1
dependencies
中 / 4
0.x 版本 API 和安全修复节奏通常更不稳定。
依赖处于安全敏感路径,升级和替换需要更严格审查。
download-helper
github:example/download-helper
dependencies
高 / 5
非 registry 来源依赖更难复现和审计。
依赖处于安全敏感路径,升级和替换需要更严格审查。
react
^19.0.0
dependencies
低 / 1
SemVer 范围允许自动升级,发布前应依赖锁文件。
build-plugin
1.0.0-beta.2
devDependencies
低 / 2
预发布版本不适合默认进入生产依赖树。
package script: postinstall
node scripts/bootstrap.js
lifecycle
高 / 5
安装生命周期脚本会在 install 阶段执行本地命令。
依赖处于安全敏感路径,升级和替换需要更严格审查。