NPM install is stealing your passwords – I built a tool to catch it
a day ago
- #dependency-management
- #security
- #CI/CD
- 行为供应链智能(Behavioral Supply Chain Intelligence)可透视CI流水线中的依赖项行为
- 每个软件包变更都会获得风险评分和行为报告,标记可疑包
- 通过可配置阈值、白名单和审计追踪确保合规性
- 依赖项更新可能合并未经审查的零日攻击(无CVE编号)
- 解决方案提供自动化治理(通过/警告/拦截阈值+审计追踪)
- 通过简单YAML文件或npm安装,支持GitHub Actions/GitLab CI/Jenkins等
- 检测准确率经11,000+真实软件包验证(99.95%精确率,99.7% F1值)
- 四步流程:PR提交→扫描→风险判定→安全合并
- 26个行为检测器分析软件包恶意模式
- 功能涵盖CI强制检查、可配置策略及私有源代码扫描