安裝前,先掃一下
輸入 GitHub 倉庫路徑,即時檢測維護狀態、授權合規、供應鏈風險、名稱混淆等 9 項安全指標。 保護你的專案免受惡意依賴侵害。
範例:
🔍
9 項安全規則
涵蓋維護狀態、授權合規、供應鏈風險、名稱混淆、巴士因子等關鍵指標
📊
量化安全評分
根據各項檢查結果加權計算 0-100 安全分數,一眼看出風險等級
📄
匯出掃描報告
一鍵下載 Markdown 格式的完整掃描報告,方便團隊審閱與存檔
⚡
即時掃描
輸入倉庫路徑即刻得到結果,無需等待。(MVP 版本使用模擬資料)
🛡️
供應鏈防護
檢測 Typosquatting 名稱混淆攻擊,避免安裝惡意仿冒套件
👥
巴士因子分析
評估專案維護者多樣性,單一維護者 = 高風險專案
💡 為什麼你該檢查依賴項?
🔴 真實案例
- • event-stream 事件:熱門 npm 套件被新維護者注入惡意程式碼,竊取加密貨幣
- • colors.js 自爆:維護者因不滿故意在更新中加入無限迴圈,癱瘓數千個專案
- • ua-parser-js 劫持:3000 萬下載量的套件被植入挖礦和密碼竊取程式
✅ 防護建議
- • 安裝前查看 GitHub 倉庫的維護狀態和社群活躍度
- • 使用
npm audit或 Snyk 定期掃描已知漏洞 - • 鎖定依賴版本(package-lock.json),避免自動升級風險
- • 對關鍵依賴項設置 GitHub Watch 通知,追蹤維護者變動