VibeGuardLive feed
APIMCPRSSSkill查询
返回首页查看原文

发布 npm Package Search:在 GitHub 组织中查找任意包的引入位置

立即追踪任何 npm 包的来源——覆盖所有仓库、拉取请求和贡献者——尽在 StepSecurity 的 NPM 包搜索功能。

图片

又是周一早上。您的安全团队发现周末期间技术栈中一个广泛使用的 npm 包遭到入侵。该包出现在多个仓库中,通过过去几个月的多个拉取请求引入。现在面临关键问题:

哪些仓库受到影响?谁在何时添加了这个包?实际的波及范围有多大?

对于大多数团队来说,回答这些问题意味着手动搜索仓库、检查 package.json 文件、审查 Git 历史记录,并拼凑时间线。时间一分一秒地流逝,而影响范围仍然无法确定。

这就是现代软件开发中应急响应的现状。

npm 供应链攻击问题

npm 供应链攻击的频率和复杂程度已急剧升级。仅在 2025 年 9 月,JavaScript 生态系统就面临了多起高影响事件:

Shai-Hulud 蠕虫 通过一种自我复制的攻击方式感染了超过 500 个 npm 包,自动向下游包传播。该蠕虫窃取了云凭证、GitHub token 和 npm 发布密钥,然后利用这些凭证在整个生态系统中进一步传播。

2025 年 9 月的Singularity 入侵事件针对了流行的 Nx 构建系统,该系统被数千个组织用于管理 JavaScript 和 TypeScript 代码仓库。@nx/singularity 包的一个恶意版本被发布到 npm,其中包含数据窃取恶意软件,设计用于从开发环境中窃取 token 和凭证。

2025 年 7 月的eslint-config-prettier 攻击事件入侵了一个每周下载量超过 3000 万次的包,通过修改的安装脚本传播了 Scavenger 信息窃取恶意软件。

每起事件都遵循相同的模式:维护者凭证被入侵、恶意包版本被发布到注册表、组织机构拼命确定暴露位置。挑战不仅仅是检测一个包是否被入侵——而是要了解该包在您的代码库中存在何处以及如何进入的。

推出 npm 包搜索

今天,我们很高兴宣布 npm Package Search,这是 StepSecurity Artifact Security 套件中的一项新功能,可让您立即了解任何 npm 包在组织中的引入位置。

npm Package Search 允许您搜索在 GitHub 组织中通过拉取请求添加的 npm 包,将其追踪到引入的确切 PR。当发现一个包被入侵或存在漏洞时,您可以立即识别所有受影响的 PR,了解跨仓库的波及范围,并采取有针对性的修复措施。

这不是另一个依赖扫描工具,npm Package Search 回答的是一个根本不同的问题:不是"我现在有什么包?"而是"这个包是什么时候、以什么方式进入我的代码库的?"

npm Package Search 与传统 SCA 工具的区别

大多数软件成分分析(SCA)解决方案专注于依赖项的当前状态——您的仓库中现在存在什么。npm Package Search 更进一步,展示每个依赖项进入并在组织代码库中演变的完整历史

通过 npm Package Search,您可以:

  • 跨拉取请求搜索,而不仅仅是清单文件:即时找到包被引入或修改的确切 PR,提供 SCA 工具错过的上下文。
  • 跟踪包的生命周期变化:即使某个依赖项后来被删除或替换,您也能准确知道它何时被谁添加、在仓库中存在了多长时间。
  • 关联开发者活动:当发现某个包被入侵时,您可以立即看到哪个开发者引入了它,从而更容易评估开发者机器或凭证的潜在入侵风险,加快应急响应。

npm Package Search 的工作原理

探索这个交互式演示,了解 npm Package Search 如何在您的组织中工作

实际用例

应急响应

当发现 Shai-Hulud 蠕虫时,受影响的组织需要立即确定 500 多个被入侵的包中是否有任何一个进入了他们的代码库。通过 npm Package Search,安全团队可以查询特定的包版本,立即查看每个添加它们的 PR,识别引入者,并追踪跨仓库的暴露时间线。

团队无需花费数小时手动审计仓库,而是在几秒内获得全面结果,实现快速响应和遏制。

依赖审计

除了被动的应急响应,npm Package Search 还能实现主动安全实践。安全团队可以定期搜索已弃用的包、具有已知漏洞的包或违反组织策略的包。PR 级别的可见性准确显示不合规包存在的位置,并提供理解它们被引入原因所需的上下文。

波及范围评估

当热门包中披露漏洞时,了解暴露情况对于优先级排序至关重要。npm Package Search 不仅显示哪些仓库使用该包,还显示它在组织中的分布范围。如果一个包通过自动化依赖更新出现在数十个仓库中,您就知道有大量的修复工作要做。如果它仅存在于一个从未合并的实验性 PR 中,紧迫程度就更低。

开始使用

npm 生态系统发展迅速,针对它的威胁也是如此。当下一次供应链攻击来袭——这是必然的——您需要立即知道您是否受到影响以及影响在哪里。

npm Package Search 将应急响应从数小时的手动调查转变为秒级的精准查询。它将"我们是否暴露了?"这个问题从一项研究项目变成一个确定的答案。

有关详细的设置说明和 npm Package Search 功能的完整演示,请访问文档

准备好亲身体验了吗?开始免费试用,立即获取 npm 包领域的可见性。