deptrust: una CLI para auditar versiones de paquetes contra vulnerabilidades conocidas

Fuentes: deptrust: a CLI to audit package versions against known vulnerabilities

deptrust es una herramienta de línea de comandos que verifica si una versión concreta de un paquete presenta vulnerabilidades conocidas en múltiples ecosistemas de desarrollo: npm, PyPI, Cargo, Go modules, RubyGems, NuGet, Maven, Packagist, pub.dev, CocoaPods, Hex.pm, Hackage y GitHub Actions. Funciona tanto como CLI local como servidor MCP, y consulta directamente las APIs públicas de los registros y las bases de datos OSV y GitHub Advisory Database, sin depender de un servicio intermedio.

La herramienta nace de un problema concreto: los agentes de IA tienden a recomendar versiones obsoletas de dependencias. Para evitarlo, deptrust ofrece tres comandos principales. El primero, check, evalúa una versión exacta o la última disponible y devuelve una recomendación basada en la gravedad del CVE: bloquea las versiones con vulnerabilidades críticas o altas, marca para revisión las de severidad media o desconocida y permite las bajas o sin avisos. El segundo, suggest, propone la versión más reciente segura, priorizando las correcciones reportadas por los proveedores de avisos. El tercero, compare, contrasta dos versiones para mostrar la mejora en el riesgo.

Además de los CVEs, la herramienta emite señales de riesgo adicionales, como marcar para revisión cualquier paquete publicado en las últimas 72 horas, para impedir que un agente instale versiones recién salidas sin supervisión. La cobertura de proveedores varía: Hackage no aparece en la base de datos de GitHub y CocoaPods no está cubierto por OSV, por lo que en esos casos el resultado indica cobertura parcial o desconocida en lugar de marcar el paquete como seguro.

La instalación se realiza con npx o a través de Homebrew, y permite registrar integraciones con Codex y Claude Code. Una vez configurado el servidor MCP, los agentes verifican automáticamente las versiones antes de sugerir actualizaciones o responder preguntas sobre qué dependencias se pueden actualizar.