Dragon-Lady/linux-supply-chain-guard

# linux-supply-chain-guard `linux-supply-chain-guard` 是一个只读的 Linux 主机检查工具，专为开发者和事件响应人员设计，用于审查工作站、CI 运行器和构建主机的供应链暴露情况。 它负责检查与 2026 年 5 月 Linux 供应链响应 lane 相关的本地主机安全状态，包括 Fragnesia / `CVE-2026-46300` 内核暴露情况、危险模块状态，以及公开的 Shai-Hulud / Here We Go Again 分析报告中提到的已知开发者工具持久化路径。 ## 安全立场 - 默认为只读检查。 - 不进行漏洞利用测试。 - 不执行恶意软件。 - 不自动清理。 - 不撤销 token。 - 不声明主机是安全的。 - 敏感文件仅通过路径进行检测；不打印其内容。 ## 用法 ``` npx linux-supply-chain-guard ``` 本地检出： ``` node bin/linux-supply-chain-guard.js node bin/linux-supply-chain-guard.js / --json node bin/linux-supply-chain-guard.js /mnt/recovered-root --report report.json --home /mnt/recovered-root/home/alice ``` 退出代码： - `0`：仅为信息性发现 - `1`：警告或需审查的发现 - `2`：严重发现 - `64`：命令行或运行时错误 ## 当前检查项 - AlmaLinux Fragnesia / `CVE-2026-46300` 已修补内核状态： - AlmaLinux 8：`kernel-4.18.0-553.124.2.el8_10` 及以上版本 - AlmaLinux 9：`kernel-5.14.0-611.54.4.el9_7` 及以上版本 - AlmaLinux 10：`kernel-6.12.0-124.56.2.el10_1` 及以上版本 - 与 Fragnesia 相关的 `esp4`、`esp6` 和 `rxrpc` 模块状态。 - 在 `/etc/modprobe.d` 中确认临时模块黑名单。 - 已知的 Shai-Hulud / Here We Go Again 持久化和 payload 路径： - `/tmp/transformers.pyz` - `gh-token-monitor.service` - `gh-token-monitor.sh` - `pgsql-monitor.service` - `pgmonitor.py` - 常见开发者凭证暴露面（仅检测存在性）。 ## 结果解读 严重发现意味着主机可能需要立即隔离或修补。 警告和需审查的发现意味着该工具发现了应由操作员检查的安全状态或证据。干净的运行结果仅代表此版本未观察到它所检查的已知指标。 ## 信息来源 - AlmaLinux Fragnesia / CVE-2026-46300 披露： https://almalinux.org/blog/2026-05-13-fragnesia-cve-2026-46300/ - NVD CVE-2026-46300： https://nvd.nist.gov/vuln/detail/CVE-2026-46300 - JFrog Shai-Hulud：Here We Go Again： https://research.jfrog.com/post/shai-hulud-here-we-go-again/

标签：AlmaLinux, CI/CD安全, CVE-2026-46300, Fragnesia漏洞, GNU通用公共许可证, Llama, MITM代理, Node.js, OpenCanary, Shai-Hulud, StruQ, 主机安全检查, 内核安全态势, 凭证暴露检测, 只读检查器, 库, 应急响应, 应用安全, 开发者工具安全, 持久化检测, 文档安全, 系统加固, 网络安全, 自定义脚本, 隐私保护, 风险模块检测