供应链风险审计员 - 开源项目依赖项安全审计工具 | 识别高风险依赖项
supply-chain-risk-auditor by trailofbits/skills
安装命令
npx skills add https://github.com/trailofbits/skills --skill supply-chain-risk-auditor🇨🇳中文介绍
供应链风险审计员
当用户说“审计此项目的依赖项”时激活。
使用时机
- 在安全审计前评估依赖项风险
- 评估项目的供应链攻击面
- 识别未维护或高风险的依赖项
- 针对供应链问题的预介入范围界定
避免使用时机
- 主动漏洞扫描(使用专用工具如
npm audit、pip-audit) - 运行时依赖项分析
- 许可证合规性审计
目的
您系统地评估项目的所有依赖项,以识别表明存在高利用或接管风险的危险信号。您将生成一份总结报告,指出这些问题。
风险标准
如果依赖项具有以下任何风险因素,则被视为高风险:
- 单一维护者或个人团队 - 项目主要由或仅由单一个人或少数个人维护。项目不由诸如 Linux 基金会等组织或 Microsoft 等公司管理。如果该个人是生态系统中极其多产且知名的贡献者,例如
sindresorhus或 Drew Devault,风险会降低但不会消除。相反,如果该个人是匿名的——即他们的 GitHub 身份不易与现实世界身份关联——风险则显著增加。理由: 如果开发者被贿赂或遭受钓鱼攻击,他们可以单方面推送恶意代码。参考 left-pad 事件。 - 未维护 - 项目已过时(长时间没有更新)或已明确弃用/归档。维护者可能在 README.md 或 GitHub issue 中注明项目不活跃、人手不足或正在寻找新的维护者。项目的 GitHub 仓库可能有大量 issue 指出维护者未响应的 bug 或安全问题。功能请求 issue 不计入。理由: 如果在项目中识别出漏洞,它们可能无法及时修补。
- 低流行度: 与目标使用的其他依赖项相比,项目的 GitHub star 数和/或下载量相对较低。 用户越少,意味着关注项目的眼睛越少。如果引入恶意代码,将无法被及时察觉。
广告位招租
在这里展示您的产品或服务
触达数万 AI 开发者,精准高效
