探索未知，依赖可视化 —— It-Depends

在软件开发过程中，了解和管理项目依赖关系是至关重要的。为此，我们向您推荐一个强大的开源工具——It-Depends。这是一个自动构建依赖图和软件物料清单（SBOM）的工具，适用于各种编程语言的包和源代码仓库。

项目简介

It-Depends的设计目标是帮助开发者清晰地理解他们的项目依赖结构，并检测其中可能存在的安全漏洞。它支持Go、JavaScript、Rust、Python和C/C++项目，并能针对这些项目提取出完整的依赖关系。此外，It-Depends还能提供可视化展示，并且可以匹配并显示与依赖相关的CVE信息。

项目技术分析

It-Depends的核心特性包括：

1. 对C/C++项目的支持，无论采用autootools还是cmake构建。
2. 基于动态分析的部分本地库依赖自动识别，例如，Python包pytz依赖libtinfo.so.6。
3. 列举所有可能的依赖解决方案，而不仅仅是一个可行的解决方案。
4. 提供基于依赖图的两个包之间相似度比较的指标。

该项目利用了诸如autotools、cmake等构建系统，通过自动化流程获取项目依赖。对于像Python或JavaScript这样的高级语言，它能够发现其对本地库的依赖。同时，提供了vis.js或dot的图形化展示，并可导出机器可读的JSON格式SBOM。

应用场景

1. 依赖关系审计：快速查看项目的所有直接和间接依赖项，以确保它们的安全性。
2. 版本控制：比较不同版本或分支的依赖差异，辅助决策升级或切换版本的影响。
3. 项目迁移：评估将项目从一种编程语言迁移到另一种时所需的库和依赖关系。
4. 安全警报：通过匹配CVE数据库，提醒开发者潜在的安全问题。

项目特点

1. 支持多种语言的项目，包括源码仓库和包规范。
2. 可直接从源码仓库中提取依赖，无需实际构建。
3. 自动发现本地库依赖，增强对高阶语言的理解。
4. 提供全面的依赖解析，而非单个可行解。
5. 通过依赖图可视化工具呈现复杂关系。
6. 内置CVE匹配功能，便于安全审计。
7. 支持SBOM的JSON输出，未来还将集成SPDX标准。

快速上手

只需一条命令即可安装It-Depends：

pip3 install it-depends

然后，在你的项目目录下运行：

cd /path/to/project
it-depends

或者指定其他公共包仓库的包：

it-depends pip:numpy
it-depends apt:libc6@2.31
it-depends npm:lodash@>=4.17.0

It-Depends会以JSON格式输出完整的依赖层级结构，并可选择其他输出格式。

有了It-Depends，你可以更有效地管理和监控你的项目依赖，让软件开发更加透明，更易维护，且更安全。立即加入，让It-Depends成为您的开发助手，一起探索并优化您的项目依赖吧！