К содержанию
Новости

deptrust проверяет зависимости на уязвимости перед установкой AI-агентами

Разработчик представил CLI-инструмент deptrust для проверки версий пакетов на известные уязвимости. Утилита поддерживает npm, PyPI, crates.io, Go modules, RubyGems, NuGet, Maven, Packagist, pub.dev, CocoaPods, Hex.pm, Hackage и GitHub Actions, а также другие реестры пакетов.

Как пишет Hacker News, deptrust можно запускать локально как CLI или MCP-сервер. Инструмент напрямую обращается к публичным API реестров пакетов и OSV, отдельного облачного сервиса у него нет.

Автор проекта объяснил, что создал deptrust из-за AI-агентов для написания кода: они нередко предлагали устаревшие или уязвимые версии зависимостей. С помощью инструмента можно быстро проверить, есть ли у конкретной версии известные уязвимости, прежде чем агент установит или порекомендует пакет.

Ключевые факты

  • deptrust работает как локальный CLI и как MCP-сервер

  • Инструмент проверяет версии пакетов через публичные API реестров и OSV

  • Автор создал проект из-за того, что AI-агенты предлагали устаревшие или уязвимые версии зависимостей