Dev Machine Guard 现已支持 Linux,让安全团队能够全面洞察 Linux、macOS 和 Windows 开发人员机器。通过一个仪表板即可检测 AI 编码代理、IDE 扩展、MCP 服务器、npm 和系统软件包,以及整个开发团队中的受损依赖项。
此版本发布后,Dev Machine Guard 可在 Linux 上原生运行。结合已部署的 macOS 和 Windows 版本,相同的扫描引擎现已覆盖您的所有开发人员机器。
如果您已在 macOS 或 Windows 上使用 Dev Machine Guard,无需学习新操作。安装 .deb 或 .rpm 包,指向您的租户,您的 Linux 开发人员即可与其他团队成员一起出现在仪表板上。
为什么 Linux 覆盖很重要
Linux 是最可能持有生产环境密钥的开发人员的首选操作系统:
- 在本地运行预发环境的后端工程师、SRE 和平台团队
- 需要 GPU 访问和 CUDA 工具链的 AI 和机器学习开发人员
- 发布被数百万下游项目使用的开源软件包维护者
- 在生产镜像环境中工作的安全研究人员和 DevOps 团队
这些正是攻击者最想入侵的开发人员机器。他们持有 npm 和 PyPI 的发布令牌、进入生产环境的 SSH 密钥、具有提升权限范围的 GitHub 凭据,以及对 CI/CD 系统的直接访问权限。然而,对于许多组织来说,Linux 开发人员机器一直是整个团队中最不受监控的角落,处于不了解开发者工作流程的传统 MDM 和不了解供应链风险的 EDR 之间。
在此版本之前,运行混合团队的 安全团队存在明显的可见性差距。macOS 和 Windows 开发人员机器由 Dev Machine Guard 进行清点,而 Linux 机器要么由部分脚本覆盖,要么根本没有覆盖。这个差距正是攻击者在供应链事件期间瞄准的目标,此时需要立即(而非几天后)回答"我们组织的哪些开发人员实际安装了这个受损的软件包或扩展?"这个问题。
推动此项工作的真实事件
Dev Machine Guard 的诞生是因为针对开发人员机器的供应链攻击已不再是假设。在过去十二个月中,我们的研究团队追踪到:
- Shai-Hulud npm 蠕虫活动, compromised 了 500 多个软件包,并获得了 CISA advisory,通过 CI/CD 管道和开发人员环境传播
- s1ngularity Nx 入侵事件,武器化了开发人员机器(其中大部分是 Linux 和 macOS)上的 AI CLI 工具以窃取凭据
- 冲击 TanStack 和其他广泛使用的 npm 软件包的 Mini Shai-Hulud 浪潮,包括从 GitHub Actions 运行器中窃取 OIDC 令牌
在每个事件中,最困难的后续问题都是相同的:
我们组织中哪些开发人员机器目前已安装受影响的软件包、扩展或代理?
在 macOS 和 Windows 上,Dev Machine Guard 已经可以通过一次查询回答这个问题。通过 Linux 支持,安全团队现在可以从同一个仪表板跨整个团队回答这个问题。
此版本包含的内容
平台
- AMD64 (x86_64) 上的 Linux,以 .deb 和 .rpm 包形式提供
- 已在基于 Debian 和 RPM 的发行版上测试
- 所有发布工件均使用 Sigstore 签名,并附带构建来源证明
覆盖范围
- 安装在机器上的 AI 编码代理,包括 Claude、Cursor、GitHub Copilot 和 Codex
- 在机器上运行的 AI CLI 工具
- 来自 VS Code Marketplace 和 OpenVSX 注册表的 IDE 扩展,覆盖 VS Code、Cursor、Windsurf 和 JetBrains 产品
- JetBrains IDE(IntelliJ IDEA、PyCharm、GoLand、WebStorm、RubyMine、CLion、Rider、PhpStorm、DataGrip、RustRover、Aqua、DataSpell、AppCode)
- 跨支持代理的 MCP 服务器配置
- npm 软件包,包括全局安装和按项目的
- Linux 系统软件包,包括 rpm、dpkg、pacman、apk、snap、flatpak
- 本地框架、进程和 shell 工具
- 设备清单:主机名、发行版和内核版本、BIOS 序列号
Linux 检测的工作原理
Dev Machine Guard 使用原生 Linux 机制,而不是试图模拟 macOS 约定:
- 应用程序发现使用 /opt/、/usr/share/*.desktop 条目和 $PATH 查找
- 设备身份从 BIOS 序列号派生,因为 Linux 不暴露 macOS 风格的硬件序列号
- 计划扫描使用 systemd user timer,安装在开发者自己的用户账户下。无需 root 守护进程,无需系统级服务,无需手动编辑单元文件
- 软件包检测使用每个管理器的本机查询:RPM 使用 rpm -qa,Snap 使用 snap list,Flatpak 使用 flatpak list
模式
- 社区模式完全在本地运行,没有任何数据离开机器
- 企业模式将扫描结果报告给 StepSecurity 后端,以实现集中可见性、策略执行和历史报告。等级模型与 macOS 和 Windows 相同。
如何开始
有关完整的部署指南,请参阅安装脚本文档。
社区等级
对于个人开发者和开源维护者,开源二进制文件免费使用,完全在本地运行。它生成一份 JSON 或 HTML 报告,显示机器上安装的所有内容,不向任何地方发送数据。
GitHub 仓库(包括所有检测逻辑)可在 github.com/step-security/dev-machine-guard 获取。
企业等级
对于在整个 Linux 开发团队中部署的组织,企业等级添加:
- 集中仪表板,支持按设备深入查看
- 针对 IDE 扩展、MCP 服务器、AI 代理和软件包的策略执行
- 对新发布的 npm 和 PyPI 软件包的冷却期
- 受损依赖、恶意扩展和未批准 MCP 服务器的告警
- 跨整个团队的历史报告和事件分类
一个引擎,覆盖所有开发人员机器
Dev Machine Guard 围绕单一开源扫描引擎构建。同一个二进制文件现在可以在 macOS、Windows 和 Linux 上运行。相同的检测只需添加一次即可使所有平台受益。相同的策略可从一个仪表板跨您的整个团队应用。
如果您一直在等待 Linux 支持,然后再将 Dev Machine Guard 部署到您的整个开发人员组织,此版本将填补这一空白。在您的 Linux 机器上试用它,并告诉我们您发现了什么。
如果您遇到任何问题或有任何检测建议,请在 github.com/step-security/dev-machine-guard/issues 提交问题。
欢迎使用 Linux。