检查 package-lock.json、pnpm-lock.yaml 或 yarn.lock 里的多版本、风险来源、预发布版本和缺失 integrity。
- 本地处理
- 分类 开发运维
- 适合 格式化、校验、压缩或检查和代码相关的文本。
在浏览器本地运行, 文件不会上传。文本上限: 8 MB。
依赖
3
唯一包
3
多版本
0
提醒
2
提醒
- 1 dependencies resolve from git or GitHub.
- 1 dependencies are missing integrity metadata.
这个工具能做什么
依赖锁文件审计器会在本地读取常见 JavaScript lockfile 并生成依赖风险清单。粘贴 package-lock.json、pnpm-lock.yaml 或 yarn.lock 后, 它会统计依赖条目、唯一包名、多版本锁定、git 或 GitHub 来源、明文 HTTP tarball、file/link 依赖、预发布版本和缺失 integrity 的包。它适合依赖清理前、供应链复核、发布冻结、monorepo 迁移、供应商交付和排查同包多版本导致的体积膨胀。工具不会安装包、不会请求 registry、不会上传 lockfile。报告可以导出 Markdown、JSON 或 CSV。
工具细节
- 输入
- 文件 + 文本 + 数值
- 页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
- 输出
- 即时结果 + 复制 + 下载
- 结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
- 隐私
- 浏览器本地处理
- 主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
- 保存 / 分享
- 可分享链接状态
- 关键设置会进入 URL,复制链接后别人能复现同一组参数。
- 性能预算
- 首屏 JS ≤ 118 KB
- 没有声明 WASM 依赖,适合快速打开和移动端使用。
- 适用场景
- 开发运维 · 程序员
- 分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。
怎么用
-
1. 输入
把内容粘贴或拖入工具面板。
-
2. 处理
点击按钮,在浏览器内本地处理,文件不上传。
-
3. 复制 / 下载
一键复制结果或下载到本地。
依赖锁文件审计器 适合怎么用
适合穿插在写代码、查问题、做 Review、上线前的小任务里。
适合开发场景
- 格式化、校验、压缩或检查和代码相关的文本。
- 把片段整理好再放进文档、工单、提交或交接材料。
- 不切换工具,快速检查一个小 payload。
开发检查项
- 压缩、混淆这类不可逆处理,先对副本操作。
- 除非确认工具本地处理,不要粘贴密钥和敏感片段。
- 转换后的代码上线前,仍要跑自己的测试或 lint。
下一步可以接着做
这些入口会把当前任务接到更完整的工具链里。
真实使用场景
清理多版本依赖
依赖 dedupe 或包管理器迁移前, 先导出多版本清单。
发布冻结前复核 lockfile
上线前标记 git 依赖、HTTP tarball、预发布版本和缺失 integrity。
常见踩坑
只跑 npm audit, 没检查 lockfile 是否有多版本或非 registry 来源。
本地调试后的 file/link 依赖被意外提交到 lockfile。
隐私说明
lockfile 可能暴露私有包名和仓库地址。分析只在本地完成。
常见问题
类似工具组合
做你这行的人, 还会一起用这些。