deptrust проверяет зависимости на уязвимости перед установкой AI-агентами
Разработчик представил CLI-инструмент deptrust для проверки версий пакетов на известные уязвимости. Утилита поддерживает npm, PyPI, crates.io, Go modules, RubyGems, NuGet, Maven, Packagist, pub.dev, CocoaPods, Hex.pm, Hackage и GitHub Actions, а также другие реестры пакетов.
Как пишет Hacker News, deptrust можно запускать локально как CLI или MCP-сервер. Инструмент напрямую обращается к публичным API реестров пакетов и OSV, отдельного облачного сервиса у него нет.
Автор проекта объяснил, что создал deptrust из-за AI-агентов для написания кода: они нередко предлагали устаревшие или уязвимые версии зависимостей. С помощью инструмента можно быстро проверить, есть ли у конкретной версии известные уязвимости, прежде чем агент установит или порекомендует пакет.
Ключевые факты
deptrust работает как локальный CLI и как MCP-сервер
Инструмент проверяет версии пакетов через публичные API реестров и OSV
Автор создал проект из-за того, что AI-агенты предлагали устаревшие или уязвимые версии зависимостей