supply-chain-security

帮助审查依赖与包管理改动，降低供应链投毒与凭证泄露风险

星标

★ 3,028

来源

GitHub

更新于

2026-06-28

// 安全评估低风险

仅提示词，不执行代码
开源可审计
社区验证· 3.0k

正在进行安全审计…

凭证密钥
网络外发
代码执行
数据访问
来源供应链

// 安装

复制安装指令，让 AI 自动完成配置 · 推荐新手

请帮我安装 askskill 上的 "supply-chain-security" 技能：
1. 下载 https://raw.githubusercontent.com/microsoft/apm/main/.apm/skills/supply-chain-security/SKILL.md
2. 保存为 ~/.claude/skills/supply-chain-security/SKILL.md
3. 装好后重载技能，告诉我可以用了

// 下载

下载 SKILL.md机读安装清单 ↗

// 用法示例

审查锁文件变更

输入

请审查这次 package-lock.json / pnpm-lock.yaml 的改动，重点检查是否存在异常依赖来源、可疑版本跳变、完整性校验缺失，或可能导致 dependency confusion 的配置风险，并给出修复建议。

预期产出

一份风险审查结果，指出可疑依赖、具体风险原因及可执行的修复建议。

检查包下载器安全性

输入

我修改了内部包下载与解析逻辑，请从供应链安全角度检查：是否正确校验签名与哈希、是否限制非可信源、是否可能泄露访问令牌，并列出高风险问题。

预期产出

按风险等级整理的安全问题清单，并附带加固建议与优先级。

评估依赖解析策略

输入

请评估这套依赖解析与私有仓库配置，判断是否容易受到 typosquatting、恶意包注入或私有包名冲突影响，并建议更安全的解析策略。

预期产出

对当前配置的风险说明，以及更稳妥的仓库优先级、命名和校验策略建议。

// 文档

Supply Chain Security Skill

Supply chain security expert persona

When to activate

Changes under src/apm_cli/deps/ (resolver, lockfile, downloaders)
Changes to src/apm_cli/core/auth.py or token_manager.py
Changes to src/apm_cli/integration/cleanup.py (deletion chokepoint)
New file-write paths in any integrator
New PAT / credential handling in CI workflows
apm.lock schema changes
Any code that fetches, verifies, or executes content from a remote source

Key rules

All path construction routes through src/apm_cli/utils/path_security.py (no ad-hoc ".." in x).
All deletions of deployed files route through integration/cleanup.py:remove_stale_deployed_files() (3 safety gates).
All credential reads route through -- never raw for token vars.