Dev Machine Guard 现支持 Windows

Dev Machine Guard 现已支持 Windows，使安全团队能够全面洞察 Windows 和 macOS 开发人员机器。在单一仪表板上检测整个开发团队中的 AI 编码助手、IDE 扩展、MCP 服务器、npm 软件包和受损依赖项。

点击放大

直到今天，Dev Machine Guard 仅支持 macOS。通过此版本，它也可原生运行于 Windows。同样的扫描引擎，同样的企业仪表板，同样的策略，现在已扩展到您 Fleet 中的 Windows 开发人员机器。

如果您已在 macOS 上使用 Dev Machine Guard，无需学习任何新内容。在 Windows 机器上运行该二进制文件，将其指向您的租户，Windows 开发人员就会与您 Fleet 中的其他成员一起出现在仪表板上。

为什么 Windows 覆盖率很重要

现代 Windows 开发人员机器与 macOS 机器一样容易受到攻击，在许多企业中它反而是主导平台。相同的攻击面同样适用：

• 具有提升权限的 AI 编码助手，如 GitHub Copilot、Cursor 和 Claude
• 配置为将这些助手连接到内部系统、仓库和凭据的 MCP 服务器
• 在后台自动更新的 IDE 扩展，覆盖 VS Code、Cursor 和 JetBrains 产品，从 VS Code Marketplace 和 OpenVSX 注册表拉取
• 全局安装以及跨项目目录安装的 npm 软件包
• 具有凭据和源代码访问权限的本地进程和 Shell 工具

直到此版本发布前，运行混合 Fleet 的安全团队存在一个真实可见性缺口。macOS 开发人员机器由 Dev Machine Guard 进行清点，而 Windows 机器要么由通过 Slack 共享的部分脚本覆盖，要么根本未被覆盖。这一缺口正是攻击者在供应链事件期间利用的目标，此时问题"我们哪些开发人员实际安装了此受损软件包或扩展？"需要在几分钟内得到答案，而不是几天。

推动此工作的真实事件

Dev Machine Guard 的诞生是因为针对开发人员机器的供应链攻击已不再是假设。仅在过去十二个月中，我们的研究团队就追踪了：

• Shai-Hulud npm 蠕虫活动，该活动危害了 500 多个软件包，并获得了 CISA 建议，通过 CI/CD 和开发环境传播
• s1ngularity Nx 供应链事件，该事件武器化了开发人员机器上的 AI CLI 工具以窃取凭据
• Mini Shai-Hulud 浪潮 影响了 TanStack 和其他广泛使用的 npm 软件包，包括从 GitHub Actions runner 中窃取 OIDC 令牌

在每个事件中，最难跟进的问题都是相同的：

我们组织中哪些开发人员机器现在安装了受影响的软件包、扩展或助手？​

在 macOS 上，Dev Machine Guard 已在一次查询中回答了这个问题。通过 Windows 支持，安全团队现在可以从同一仪表板跨其完整 Windows 和 macOS Fleet 进行回答。

此版本包含的内容

平台

• Windows 10 和 Windows 11 开发人员机器
• AMD64 (x64) 和 ARM64 两种架构的二进制文件，使用 Sigstore 签名并附带构建溯源信息发布

覆盖范围

• AI 编码助手，包括 Claude、Cursor、GitHub Copilot 和 Codex
• 在机器上运行的 AI CLI 工具
• 来自 VS Code Marketplace 和 OpenVSX 注册表的 IDE 扩展，覆盖 VS Code、Cursor、Windsurf、Antigravity 和 JetBrains 产品
• 已安装的 IDE 和编辑器版本
• 跨支持助手的 MCP 服务器配置
• npm 软件包，包括全局安装和按项目安装的
• 本地框架、进程和 Shell 工具
• 设备清单：主机名、操作系统版本、序列号

Windows 检测的工作原理

Dev Machine Guard 使用原生 Windows 机制而非尝试模拟 Unix 环境：

• 应用程序发现使用 %LOCALAPPDATA%、%PROGRAMFILES% 和 $PATH 查找
• 版本信息从 Windows 注册表（HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall）读取，而非 macOS 的 Info.plist 文件
• 计划扫描使用 Windows 任务计划程序 via schtasks，与 macOS 使用 launchd 的方式相同
• 文件路径处理全程使用 filepath.Join，因此目录布局在 Windows驱动器盘符和反斜杠下能正确工作

模式

• 社区模式完全在本地运行，没有任何数据离开机器
• 企业模式将扫描结果报告给 StepSecurity 后端，用于集中可见性、策略 enforcement 和历史报告。层级模型与 macOS 相同。

如何开始

Windows 使用与 macOS 相同的二进制文件和相同的命令。

有关完整的推广指导，包括 MDM 和组策略部署，请参阅安装脚本文档。

社区层级

对于个人开发者和开源维护者，开源二进制文件免费使用，完全在本地运行。它生成机器上已安装所有内容的 JSON 或 HTML 报告，不向任何地方发送数据。

GitHub 仓库（包括所有检测逻辑）可在 github.com/step-security/dev-machine-guard 获取。

企业层级

对于跨 Windows 开发人员 Fleet 进行推广的组织，企业层级添加了：

• 集中仪表板，支持按设备深入查看
• 针对 IDE 扩展、MCP 服务器、AI 助手和软件包的策略 enforcement
• 针对新发布的 npm 和 PyPI 软件包的冷却期
• 针对受损依赖项、恶意扩展和未批准 MCP 服务器的警报
• 跨整个 Fleet 的历史报告和事件调查

👉 开始免费试用

一个引擎，macOS 和 Windows

Dev Machine Guard 围绕单一开源扫描引擎构建。同样的二进制文件现在运行在 macOS 和 Windows 上。同样的一次性检测添加使两个平台都受益。从一个仪表板跨您 Fleet 应用相同的策略。

如果您一直在等待 Windows 覆盖支持，然后才能将 Dev Machine Guard 推广到您的完整开发组织，此版本正是弥合这一差距的版本。在您的 Windows 机器上试用它，并告诉我们您发现了什么。

如果您遇到任何问题或有任何检测建议，请在 github.com/step-security/dev-machine-guard/issues 提交问题。

欢迎使用 Windows。​