npm이 패키지를 맹목적으로 설치한다 — 이를 해결하기 위해 CLI를 만들었다

Source: Dev.to

소개

저는 최근에 guard‑install이라는 작은 CLI 도구를 만들었습니다. 이 도구는 npm 패키지를 설치하기 전에 잠재적인 위험 요소를 분석합니다.

npx guard-install axios

npm이 패키지를 눈에 보이지 않게 설치한다는 점을 깨달으며, 공급 체인 공격과 악성 패키지가 점점 더 흔해지고 있다는 사실이 아이디어의 출발점이었습니다.

기능

• 패키지 메타데이터 확인 (최근 배포 시점, 유지보수자 수, 다운로드 수)
• 설치 스크립트 감지 (postinstall / preinstall)
• 의존성 스캔 (깊이 제한)
• 위험 점수 계산 (LOW / MEDIUM / HIGH)
• 패키지가 위험할 수 있는 이유 설명
• --ignore-scripts 옵션을 사용해 안전하게 설치

예시 출력

Package: axios
Risk score: LOW
Maintainers: 3
Recent publish: 2 weeks ago
Install scripts: none
Dependencies scanned: 5 (depth 2)
Recommendation: safe to install

(위 스니펫을 실제 CLI 출력으로 교체하세요.)

링크

• GitHub:
• npm:

피드백 요청

아직 초기 단계(v0.1.1)라서 여러분의 의견을 정말로 환영합니다:

• 이 도구가 유용할까요?
• 어떤 신호를 더 신뢰하고 싶으신가요?
• 일상적으로 사용하게 만들려면 무엇이 필요할까요?

감사합니다!