supply-chain-guard

Supply Chain Guard 是一个用于npm包和VS Code扩展的本地审查工具，旨在在安装前检查软件包的安全性。其核心功能包括下载待安装的软件包或扩展，分析关键文件，并生成JSON和Markdown格式的报告，同时支持通过Codex或PI进行二次审查。该工具使用TypeScript编写，适合于开发者在执行`bun add`、`npm install`或`code --install-extension`命令之前，对即将引入项目的依赖项进行初步安全检查。需要注意的是，尽管它能提供一定的预警作用，但并不能完全保证检测出所有恶意包或确保被批准的包绝对安全。