深度分析 package.json 依赖与风险 免费在线工具,无需登录、无需注册。
本地运行个人数据安全
Loading Tool Engine
使用说明与技术 FAQ
分步操作与原理说明使用说明
- 在左侧粘贴 `package.json`(建议保留 `dependencies/devDependencies/peerDependencies/scripts` 等字段)。
- 按需勾选:是否包含 `devDependencies`、是否启用 `package-lock.json` 的离线树分析。
- 查看右侧报告:版本范围风险、未满足的 `peerDependencies`、以及依赖数量/分布概览。
- 如启用锁文件,选择一个关注依赖名,查看它的近似依赖树与多版本提示。
- 对比 `workspaces` / monorepo 根包与子包时,分别粘贴各包 manifest,避免把根依赖误当成叶子包全景。
- 关注 `optionalDependencies` 与 `bundledDependencies`:它们会影响安装体积与离线打包策略。
- 若使用私有 registry,确认 `package.json` 里的 `publishConfig`/`repository` 与内网文档一致,便于团队溯源。
- 升级大版本前,把报告中的「宽范围依赖」导出给架构评审,评估破坏性变更窗口。
- 与 Renovate/Dependabot 配置对照:报告里的高风险项可映射为自动 PR 规则或忽略列表。
- 复制/下载报告,用于代码评审、升级规划和 CI 检查。
- 先阅读页面标题与简介,确认当前工具覆盖的场景与你的任务一致(避免用错工具导致理解偏差)。
- 在输入区粘贴或键入数据;若页面提供「示例 / 模板」,可先载入再替换为自己的内容以熟悉输出格式。
相关技术知识
- 本工具是离线分析:仅基于你提供的 `package.json` / `package-lock.json` 做结构与规则推断,不会联网查询漏洞数据库。
- “风险标记”属于启发式:例如 `*` / `latest` / `git+` / 宽版本范围(`>=`)通常意味着更高的升级不确定性。
- 启用锁文件时的依赖树为近似:由于包去重与解析细节,树深度/版本归属可能与真实安装略有差异。
- npm v7+ 的 `peerDependencies` 自动安装策略与 v6 不同,解释「未满足 peer」时要注明 npm 版本。
- `overrides`/`resolutions`(pnpm/Yarn)会改变实际解析结果,工具若未读取这些文件,报告可能与线上一致性有偏差。
- lockfile v1/v2/v3 字段差异会影响「谁依赖谁」的可读性,必要时在 CI 统一 `npm install --package-lock-only` 再分析。
- 与 `npm audit` 互补:audit 偏 CVE,本页偏版本范围与结构;两者结论不一致时要人工裁定。
- 超大 lock(数万行)解析会占用主线程时间,建议关闭浏览器其他重标签或使用拆分后的子 lock。
- 不要把含内网包名、私有源 URL 的报告粘贴到公网工单;先打码 registry 主机名。
- 建议将报告接入自动化:例如对“非 semver 依赖”“未满足 peer 依赖”等条件做阈值门禁。
- 本类工具的核心解析与计算在浏览器端执行,默认不把原始业务载荷持久化到本站服务器(具体以页面隐私说明为准)。
- 处理管线通常为:读取输入 → 词法/语法或结构化解析 → 规则变换 → 格式化输出;任一步失败都会尽量给出可定位错误信息。