trawld

trawld 是一款颠覆传统的依赖漏洞扫描工具。大多数依赖扫描器运行在 CI 环境中，而 trawld 直接运行在你的机器上。只需全局安装一次代理，它便会自动监控你所有项目中的 npm 和 pip 依赖，实时与 OSV 数据库交叉比对，并将发现结果流式传输到跨机器的实时仪表盘。无需任何配置，无需设置流水线。它还通过代理的心跳循环队列执行修复命令，确保修复能到达机器，无需持久服务器连接。专为那些快速编码但忘记审计的开发者设计。

核心功能

trawld 的核心在于其机器级运行模式。与 CI 扫描器不同，它不依赖代码提交或流水线触发，而是持续监控本地文件系统变化，一旦检测到新依赖或版本变更，立即进行安全比对。这种设计让开发者能在开发过程中实时获得反馈，而非等到代码合并后才发现问题。

主要特性

• 零配置安装：全局安装代理后，自动发现所有项目，无需手动添加配置文件或集成到 CI 流程。
• 实时跨机器监控：通过一个仪表盘统一查看所有机器的扫描结果，适合多设备开发者。
• 智能修复队列：代理通过心跳循环自动执行修复命令，即使机器离线，修复也会在下次上线时自动应用。
• 覆盖主流生态：支持 npm 和 pip，未来可能扩展至更多包管理器。
• 基于 OSV 数据库：与开源漏洞数据库同步，确保漏洞信息的权威性和时效性。

适用场景

• 快速原型开发：适合使用 vibe-coding 风格的开发者，在快速迭代中自动保持依赖安全。
• 多项目管理：管理多个本地项目时，无需为每个项目单独配置扫描工具。
• 离线或受限环境：修复队列机制确保在网络不稳定或机器时断时续的场景下也能完成修复。
• 个人开发者：无需团队协作即可获得企业级的依赖安全监控。