npm 安装包时盲目——我构建了一个 CLI 来解决这个问题

Source: Dev.to

介绍

我最近构建了一个小型 CLI 工具 guard‑install，它在安装 npm 包之前会分析这些包的潜在风险。

npx guard-install axios

这个想法来源于对 npm 盲目安装 包的观察，尤其是在供应链攻击和恶意包日益增多的背景下。

功能

• 检查包的元数据（发布新近程度、维护者、下载量）
• 检测安装脚本（postinstall / preinstall）
• 扫描依赖（深度受限）
• 计算风险评分（LOW / MEDIUM / HIGH）
• 解释包可能存在风险的原因
• 使用 --ignore-scripts 安全安装

示例输出

Package: axios
Risk score: LOW
Maintainers: 3
Recent publish: 2 weeks ago
Install scripts: none
Dependencies scanned: 5 (depth 2)
Recommendation: safe to install

（将上面的代码片段替换为你实际看到的 CLI 输出。）

链接

• GitHub:
• npm:

征求反馈

这仍然是早期版本（v0.1.1），非常期待你的反馈：

• 这对你有用吗？
• 哪些信号会让你更信任？
• 什么样的改进会让你每天实际使用它？

谢谢！