DepAnalyzer Security

Analiza dependencias vulnerables y desactualizadas sin salir de Visual Studio Code.

Funciones

• Vista DepAnalyzer en la barra de actividad.
• Análisis manual, automático y al guardar.
• Diagnósticos directamente en archivos Maven, Gradle, npm y Python.
• Información de CVE, severidad, CVSS y enlaces desde el editor.
• Quick Fix para aplicar actualizaciones directas aprobadas.
• Proveedores OSS Index y NVD mediante el CLI de DepAnalyzer.

Requisito: instalar el CLI

La extensión utiliza el ejecutable depanalyzer. Instálalo antes de iniciar el análisis. La versión 0.1.1 detecta automáticamente las interfaces actuales y anteriores del CLI.

Windows

Con Scoop:

scoop bucket add andre https://github.com/andre-carbajal/scoop-bucket
scoop install andre/depanalyzer
scoop update depanalyzer

También puedes descargar depanalyzer-windows-amd64.zip desde GitHub Releases, descomprimirlo y configurar:

{
  "depanalyzer.executablePath": "C:\\ruta\\depanalyzer.exe"
}

macOS y Linux

brew tap andre-carbajal/homebrew-tap
brew install depanalyzer

También puedes usar Snap:

sudo snap install depanalyzer

Si el ejecutable está disponible en PATH, no necesitas configurar depanalyzer.executablePath.

Primer análisis

1. Abre un proyecto que contenga pom.xml, build.gradle, build.gradle.kts, package.json, pyproject.toml o requirements.txt.
2. Selecciona el icono DepAnalyzer de la barra lateral.
3. Ejecuta DepAnalyzer: Analizar Workspace desde la paleta de comandos.
4. Revisa la vista de dependencias y los diagnósticos del editor.

Configuración

Para análisis completos se recomienda configurar OSS_INDEX_TOKEN y, opcionalmente, NVD_API_KEY en el entorno donde se inicia Visual Studio Code.

Privacidad

La extensión ejecuta el CLI con --no-telemetry. Las consultas de vulnerabilidades pueden comunicarse con OSS Index o NVD según la configuración elegida.

Problemas y código fuente

• Reportar un problema
• Código fuente
• Documentación