我找到了一个很好的工具,推荐给大家!https://deps.dev/,这是来自谷歌的一个新的实验性工具,名为:OpenSourceInsights,可以让你更好地了解你的项目依赖。通过这个网站,你可以查询任何开源项目的依赖,包括依赖的依赖关系,你可以看到完整的依赖图,你可以看到它们的许可证。目前该工具支持GoModules、NPM包、MavanforJava和CargoforRust,未来可能支持NuGetfor.Net和PyPIforPython。以Go语言中文网源码为例,看用法。输入包名:github.com/studygolang/studygolang,https://deps.dev/go/github.com%2Fstudygolang%2Fstudygolang结果如下:发现几个安全问题,查看详情,发现几个库有漏洞:golang.org/x/cryptogolang.org/x/textgithub.com/dgrijalva/jwt-gogithub.com/labstack/echo/v4github.com/tidwall/gjson看看github。com/tidwall/gjson:该漏洞存在于gjson1.6.3及以下版本,具体信息来源:https://github.com/tidwall/gjson/issues/192,由于边界检查不正确,恶意构造JSON对象可能会引起越界恐慌。如果用户输入被解析,这可能被用作分布式拒绝服务攻击。根据这个提示,我们应该升级我们的依赖并修复漏洞。在Dependencies选项卡中,您可以看到项目依赖关系,并支持以表格和图形格式查看依赖关系。在Dependents选项卡中,您可以看到哪些项目依赖于当前项目。快速查看自己使用的开源项目是否存在安全漏洞,是否会存在安全隐患。例如Gin项目存在安全漏洞:
