solosofi/riskgraph

# RiskGraph RiskGraph 分析 npm 和 PyPI 包的风险信号：维护者流失、版本异常、缺少许可证、废弃的依赖项以及拼写抢注。 ## 快速开始 ``` pip install riskgraph ``` 扫描一个包： ``` os-risk scan lodash --ecosystem npm ``` ## API ``` curl https://api.riskgraph.io/api/v1/package-risk/npm/lodash ``` 响应： ``` {"package": "lodash", "score": 1.1, "level": "LOW", "signals": [...]} ``` ## 仪表板 [riskgraph.io](https://riskgraph.io) — 输入包名，获取风险评分。 ## 为什么选择 RiskGraph？ - **主动风险防范** — 不仅是 CVE，还包括维护者健康状况、版本异常、拼写抢注信号 - **生态系统无关** — 支持 npm、PyPI、GitHub - **开发者优先** — CLI、API、仪表板均提供免费层级 - **开源** — MIT 许可证 ## 路线图 - [x] 核心评分引擎（npm、PyPI） - [x] REST API (FastAPI) - [x] CLI 工具 - [x] 仪表板 - [ ] CI/CD 集成（GitHub Actions、GitLab） - [ ] 企业级 SBOM 生成 - [ ] 实时包监控 - [ ] 数据护城河：索引超过 1000 万个包 ## 许可证 MIT

标签：AV绕过, CLI, CMS安全, DevSecOps, FastAPI, JavaScript, npm, PyPI, Python, REST API, RiskGraph, SBOM, WebSocket, WiFi技术, 上游代理, 云安全监控, 仿冒攻击, 依赖分析, 信用评分, 包劫持, 包管理器, 威胁情报, 安全合规, 开发安全, 开发者工具, 开源软件安全, 文档结构分析, 无后门, 版本异常检测, 硬件无关, 统一API, 维护者健康度, 网络代理, 网络测绘, 逆向工具, 静态分析