OWASP孵化项目推出CVE Lite CLI：数秒定位并修复依赖漏洞

资讯专家

现代JavaScript项目动辄引入数千个开源依赖包，每个依赖都可能暗藏已知漏洞。虽然SBOM（软件物料清单）旨在解决这一问题，但SBOM本身难以完全信赖，开发者仍需借助扫描工具来主动发现风险。

近期被OWASP孵化器项目采纳的CVE Lite CLI，正是一款轻量级开源命令行工具。它由资深开发者Sonu Kapoor基于多年挫败感而设计，可在开发者本地设备上秒级完成扫描，并直接给出精准的修复指令，无需等待漫长的CI流水线。

该工具专注于JavaScript/TypeScript项目，支持npm、pnpm和Yarn的lockfile扫描。其内部算法不仅能检测到哪些依赖包有CVE，还能返回一条安全的替代包安装命令，确保新引入的包不会再次触发漏洞。Kapoor指出，传统CI扫描动辄耗时1-3小时，且容易因等待、上下文丢失而导致开发者被迫重复迭代，甚至干脆忽略漏洞。CVE Lite CLI将扫描纳入编码过程本身，让开发者即时发现、即时修复，避免因挫败感而妥协安全。

“想象一下，你为了找一个安全的npm替代包，经历了25次‘提交 - 等待CI - 发现仍漏洞’的循环。”Kapoor举例说道，“CVE Lite CLI能让开发者从这种无止境的等待中解脱出来。”目前该项目已托管至GitHub，开发者可免费下载使用。