信任与信号

安全扫描(Security scan)

安全扫描会对照已知漏洞数据库检查一个仓库声明的依赖;结果干净并不能证明项目是安全的。

本术语表内容由机器翻译生成,可能存在不准确之处。

这里的安全扫描 指的是把一个仓库声明的依赖对照公开的公告数据库(例如 OSV)进行自动查询。它会标记项目所依赖的软件包中的已知 CVE。

这有意做得很窄:它审查的是声明的依赖,而非应用代码、运行时行为或私有软件包。“未发现严重问题”是一份带日期的快照,而非保证。

在 GraphCanon 中

当某个工具启用此功能时,GraphCanon 会对受支持的锁文件运行基于 OSV 的扫描,并按严重程度和日期报告发现。它从不宣称什么,在信任方法论中有明确说明。

另请参阅

相关术语

最后审阅 2026-07-09

Command menu

Search tools or jump to a page