ManakRaj-7/packsentry

# PackSentry PackSentry 是一个专注于安全的 npm 生态系统依赖分析工具。 它帮助开发者在安装前识别可疑、风险高、信任度低且潜在的恶意 npm 包。 PackSentry 无需任何配置，即可直接从命令行进行轻量级的供应链分析。 ## 功能 - 包风险分析 - 仿冒包检测 - 已知恶意包检测 - 危险安装脚本分析 - 可疑 shell 命令检测 - 依赖信任评估 - 包流行度分析 - 包年龄分析 - 安全评分引擎 - 本地项目依赖扫描 - 快速的 CLI 工作流 ## 安装说明 ### 全局安装 ``` npm install -g packsentry ``` ### 使用 NPX ``` npx packsentry express ``` ## 使用方法 ### 分析一个包 ``` packsentry express ``` ### 检测可疑包 ``` packsentry axois ``` ### 扫描本地项目依赖 ``` packsentry scan . ``` ## 示例输出 ### 可信包 ``` PACKSENTRY REPORT ---------------------------- Package: express Description: Fast, unopinionated, minimalist web framework Latest Version: 5.2.1 Weekly Downloads: 104948193 Last Modified: 2026-05-11T18:50:00.386Z Risk Level: LOW Security Score: 95/100 ``` ### 可疑包检测 ``` PACKSENTRY REPORT ---------------------------- Package: axois Description: security holding package Latest Version: 0.0.1-security Weekly Downloads: 1534 Last Modified: 2022-04-11T16:25:50.920Z Risk Level: HIGH Security Score: 28/100 POSSIBLE TYPOSQUATTING DETECTED Did you mean: axios ``` ## 安全检查 PackSentry 目前分析以下方面： - 仿冒相似度 - 危险安装脚本 - 可疑 shell 命令 - 包流行度 - 包元数据 - 包年龄 - 生态系统信任信号 - 恶意包指标 - 依赖信任信号 ## 风险等级 | 风险等级 | 描述 | | -------- | ------------------------ | | 低 | 可信且广泛使用的包 | | 中 | 建议谨慎 | | 高 | 潜在可疑或恶意的包 | ## 本地项目扫描 PackSentry 可以分析来自本地 Node.js 项目的依赖项。 ``` packsentry scan . ``` 这有助于开发者在安装或部署前审计依赖项。 ## 架构 ``` src/ |-- analyzers/ |-- cli/ |-- data/ |-- scanners/ `-- index.js ``` ## 技术栈 - Node.js - ES Modules - Axios - Chalk - Ora - Jaro-Winkler - CLI Table ## 计划中的功能 - 依赖树分析 - 锁文件分析 - GitHub 仓库声誉分析 - 维护者信任评分 - JSON 输出模式 - CI/CD 集成 - 高级恶意软件启发式算法 - VS Code 扩展 ## 开发 ``` git clone https://github.com/ManakRaj-7/packsentry.git cd packsentry npm install ``` ## 许可证 MIT ## 作者 Manak Raj GitHub: [https://github.com/ManakRaj-7](https://github.com/ManakRaj-7) npm: [https://www.npmjs.com/package/packsentry](https://www.npmjs.com/package/packsentry) ## 宗旨 创建 PackSentry 是为了通过帮助开发者做出更安全的依赖决策，来提升 npm 生态系统的透明度和安全性。

标签：CLI 工具, GNU通用公共许可证, MITM代理, Node.js, npm 包, npm 生态系统, TLS抓取, Typosquatting 检测, WebSocket, 仿冒包检测, 供应链分析, 供应链攻击防御, 依赖信任评估, 依赖分析, 依赖扫描, 包安全分析, 包管理, 可疑命令检测, 安全评分, 安装脚本分析, 开发安全, 恶意包检测, 模型提供商, 自定义脚本, 软件安全, 风险检测