DepsHub 官网

DepsHub 图文介绍：

DepsHub 是一个面向软件研发团队的开源依赖治理平台，2021 年在美国特拉华州成立。它通过持续监控 GitHub、GitLab、Bitbucket 等代码仓库，自动解析 package.json、requirements.txt、pom.xml、go.mod 等主流包管理文件，结合 NVD、OSV、GitHub Advisory 等权威漏洞数据库，实时给出安全评级与升级建议，帮助团队在编码阶段就消除供应链风险。

主要功能

• 依赖漏洞扫描：Push / PR 触发秒级扫描，支持 10+ 语言生态，漏洞详情同步 CVSS 评分与利用脚本。
• 版本更新提醒：基于语义化版本规则，区分 patch / minor / major 更新，并评估破坏性变更概率。
• 许可证合规：识别 GPL、AGPL、SSPL 等传染性许可证，生成 SBOM（软件物料清单）供法务审计。
• 自动修复 PR：一键生成“安全升级”合并请求，附带 CI 通过率预测，减少人工干预。
• 团队工作台：多仓库仪表盘、风险趋势图、SLA 超时告警，可与 Jira、Slack、Teams 集成。
• 开源情报订阅：提供 API 与 Webhook，方便企业将漏洞推送至内部 SOC 或安全编排平台。

应用场景：

• 敏捷开发：在功能分支阶段即时发现高危漏洞，阻止带病合并。
• 合规审计：面向金融、医疗、车联网等强监管行业，快速输出 SBOM 与许可证报告，满足 ISO 27001、SOX、GDPR 审查要求。
• 供应链安全：对采购的第三方组件进行持续监控，防止“Log4Shell”级别事件再次发生。
• 开源治理：大型企业统一管理内部 1k+ 仓库，降低碎片化维护成本。

是否收费：

• Free 层：公共仓库无限扫描，私有仓库 50 次/月。
• Pro 层：9 美元/月/仓库，提供无限私有扫描、自动修复 PR、API 调用。
• Enterprise 层：按年订阅，含私有化部署、单点登录、定制规则、专属 SLA 支持，报价需联系销售。

平台兼容性：

• 云端版已接入 GitHub、GitLab、Bitbucket、Azure DevOps；
• CLI 与 IDE 插件支持 Windows、macOS、Linux；
• 提供官方 Docker 镜像与 Helm Chart，可一键部署至 Kubernetes 集群；
• 同时开放 REST & GraphQL API，方便与 Jenkins、GitHub Actions、GitLab CI、CircleCI 等流水线集成。

DepsHub 以“左移安全”理念为核心，把依赖漏洞扫描从传统上线后审计提前到代码提交瞬间。它既能帮助个人开发者免费守护开源项目，也能为企业提供可扩展的供应链安全治理方案。如果你正在寻找一款轻量级、高精准、可自动修复的依赖管理工具，DepsHub 值得放入工具箱。