#security #sbom #supply-chain #repository #risk #package #automatic

app hipcheck

自动评估和评分软件存储库的供应链风险

7 个稳定版本

3.5.0 2024年8月5日
3.4.0 2024年7月4日
3.3.2 2024年6月21日
3.2.1 2024年5月10日

开发工具 中排名第 68

Download history 283/week @ 2024-05-06 11/week @ 2024-05-13 21/week @ 2024-05-20 2/week @ 2024-06-10 302/week @ 2024-06-17 27/week @ 2024-06-24 181/week @ 2024-07-01 7/week @ 2024-07-08

每月下载量 188

Apache-2.0

545KB
15K SLoC

Hipcheck ✓

License: Apache-2.0 GitHub Release Hipcheck Website

从数百个无法审查的依赖项,到只需几个可以审查的依赖项!

以规模管理第三方软件的安全性风险是困难的。普通项目可以轻松拥有数百个依赖项;太多以至于无法手动审查。

Hipcheck 设计用于帮助您将依赖项列表筛选到只有几个看起来令人担忧的依赖项,并为您提供所需的信息,以便您可以快速做出安全决策。

Hipcheck 是一个用于分析开源软件包和源代码仓库以了解其软件供应链风险的命令行界面 (CLI) 工具。它分析项目的行为 软件开发实践 并检测 活跃的供应链攻击,以为您提供使用该软件包的长期和即时风险视图。

有关更多信息,请参阅 "为什么 Hipcheck?"

快速说明

Hipcheck 可以分析 Git 源代码仓库和来自流行包托管服务的开源软件包。

# Analyze Express, a popular JavaScript package for web servers, with the
# URL of its Git repository.
hc check https://github.com/expressjs/express

# Analyze urllib3 version 2.2.2, a popular URL-handling package hosted on PyPI.
hc check -t pypi [email protected]

# Analyze the package described by an SPDX Software Bill of Materials.
hc check example-sbom.spdx.json

有关更多信息,请参阅 快速入门指南

安装

请参阅 安装说明

价值观

Hipcheck 的产品价值观是

  • 可配置的: Hipcheck 应该能够适应其用户的政策。
  • 快速: Hipcheck 应该提供快速的答案。
  • 可执行的: Hipcheck 应该赋予用户做出明智安全决策的能力。

有关 Hipcheck 的产品和项目价值观的更多信息,请参阅 RFD #2

许可证

Hipcheck 的软件根据 Apache 2.0 许可证授权,可在本仓库的 LICENSE 文件中找到。

公开发布

[!NOTE] 已批准公开发布;分发不受限制。公开发布案例编号 22-2145。

本软件的部分内容是在美国政府的合同号FA8702-19-C-0001和W56KGU-18-D-0004下生产的,并受《非商业计算机软件和非商业计算机软件文档权利条款DFARS 252.227-7014(2014年2月)》的约束。[非商业计算机软件和非商业计算机软件文档权利条款DFARS 252.227-7014(2014年2月)]

依赖项

~67MB
~1.5M SLoC