Endor Labs

安全

通过 Neotask 和 OpenClaw 管理开源依赖风险和软件供应链安全——通过对话获取 Endor Labs 洞察。

• 跨项目查询易受攻击的依赖项、可达性分析结果和修复建议
• 通过对话追踪开源许可证合规性和策略违规，无需导航 Endor Labs 控制台
• 基于实际可达性而非仅理论 CVE 严重程度获取优先修复列表

你可以做什么

查询易受攻击的依赖项

让 Neotask 显示您项目依赖项中的所有严重漏洞，按可达与不可达 CVE 筛选，或检查特定软件包版本在 Endor Labs 中是否有已知漏洞。

获取基于可达性的优先级

与传统 SCA 工具不同，Endor Labs 会判断易受攻击的代码路径是否在您的应用中实际可达。让 Neotask 仅显示可达的严重 CVE，让您专注于真正重要的问题。

检查许可证合规性

让 Neotask 列出项目中所有使用 GPL、AGPL 或其他限制性许可证的依赖项，识别策略违规，或获取特定仓库的许可证清单。

追踪依赖项版本和更新

让 Neotask 显示哪些依赖项严重过时、哪些有安全补丁可用，或特定易受攻击软件包的升级路径。

监控供应链风险

让 Neotask 评估特定软件包的供应链健康评分，检查某个依赖项是否有可疑的近期活动，或识别维护评分低的软件包。

试试这样问

"显示我主应用项目中所有可达的严重 CVE"

"我项目中哪些依赖项有可能违反我们策略的 GPL 许可证？"

"我所有 Endor Labs 项目当前的漏洞数量是多少？"

"lodash 4.17.20 是否存在我们实际使用的漏洞？"

"目前我项目中风险最高的 5 个依赖项是什么？"

专业技巧

可达性优先于严重性 — 始终先按可达发现筛选；Endor Labs 的调用图分析消除了大多数误报 CVE，这些 CVE 影响的代码您的应用从未执行过。

修复组 — Endor Labs 将相关修复分组，升级一个依赖项可解决多个 CVE；在规划修复前查看修复组，以最小化所需的升级次数。

策略即代码 — Endor Labs 支持许可证和漏洞规则的策略即代码；在下次审计前审核当前策略配置并识别差距。

SBOM 生成 — 当客户或企业买家要求软件组成数据时，为项目生成 SBOM；Endor Labs 可以生成 SPDX 或 CycloneDX 格式的输出。