Sachez quelles dépendances vulnérables méritent vraiment une action.
La plupart des projets embarquent des centaines de dépendances vulnérables. La plupart ne présentent pas de risque immédiat. Lumstep utilise OSV-Scanner contre les bases OSV et NVD, puis enrichit chaque résultat avec les flags CISA KEV et les scores EPSS - pour savoir quels CVE sont activement exploités et quelle est la probabilité que le vôtre soit ciblé. Le résultat est une liste classée qui vous dit ce qu'il faut corriger ce sprint. Pour les alertes corrigeables, Lumstep ouvre la pull request.
Comment fonctionne l'analyse de dépendances Lumstep
Connectez votre dépôt une fois - Lumstep s'occupe du reste à chaque push, sans configuration CI.
Analyse complète de l'arbre de dépendances
À chaque push, Lumstep résout votre graphe de dépendances complet - directes et transitives - et vérifie chaque package dans les bases OSV et NVD.
Enrichissement par la threat intelligence
Chaque CVE est croisé avec la liste CISA KEV et reçoit un score EPSS, puis classé selon l'exploitabilité, la profondeur directe/transitive et la sévérité.
PR de correction ou alerte tableau de bord
Pour les alertes avec un chemin de mise à niveau propre, Lumstep ouvre une pull request automatiquement. Pour les autres, les résultats sont classés dans votre tableau de bord avec le contexte.
Priorisé par risque réel
Chaque résultat est croisé avec la liste CISA KEV et pondéré par l'EPSS (probabilité qu'un CVE soit exploité dans les 30 prochains jours). Une dépendance directe avec un flag KEV remonte en tête. Une dépendance transitive avec un EPSS à 0,1 % ne le fait pas.
PRs de correction ouvertes automatiquement
Quand une dépendance vulnérable dispose d'un chemin de mise à niveau sûr, Lumstep calcule la version cible et ouvre une pull request avec le diff et l'explication du choix de version. Vous relisez et mergez - rien n'est appliqué automatiquement.
Sept écosystèmes couverts
npm, pip/Poetry, Maven/Gradle, modules Go, Cargo, NuGet et RubyGems sont tous supportés. Un seul scan couvre votre stack complet, y compris les monorepos polyglots.
Surveillance continue à chaque commit
Les scans se déclenchent à chaque push - pas de tâches planifiées à configurer, pas de délai entre un commit et la détection d'une nouvelle vulnérabilité.
Identifiez vos dépendances à risque maintenant.
Accès anticipé gratuit. La correction automatique est disponible dès le premier scan.