Skill Güvenlik →

Supply Chain Risk Scoring

npm, PyPI ve Cargo bağımlılıklarının tedarik zinciri riskini, bir pull request içinde değiştikleri anda, kurulum veya yükseltme birleştirilmeden önce, puanlayın.

Her şeyi tarayan araçlardan farklı bir soruyu yanıtlar: 'hangi zafiyetler var' değil, 'bu diff'te ne değişti ve endişelenmeli miyim?' Altı sinyal birlikte çalışır: SBOM farkı, typosquat tespiti, bakımcı-yaşı puanlaması, CVE önceliklendirme ve lisans politikası, ve geleneksel tarayıcıların kaçırdığı uzun vadeli saldırıları yakalar.

₺369 tek seferlik
Bir kit içine ekle →

Fiyatlara KDV (%20) dahildir. · Gerçek ajans işinden çıkarıldı · tek seferlik, kilit yok

  • Tür Skill
  • Kategori Güvenlik
  • Teslimat E-posta · anında
  • Lisans Tek seferlik
Çalışma önizlemesi
forgehouse, supply-chain-risk-scoring

Çalışmanın içinden · kara kutu yok

Satın almadan önce işin kendisini gör.

Bağımlılık değiştiren her pull request'te skill'in koştuğu kapı döngüsü, kara kutu yok, yaptığı iş tam olarak bu:

  1. Kapı lockfile veya manifest'e dokunan her PR'da otomatik tetiklenir: package.json, package-lock, pnpm-lock, requirements.txt, Pipfile.lock, Cargo dosyaları.
  2. Faz 1 hem base branch hem PR head için byte-deterministik CycloneDX SBOM üretir; karşılaştırma yaklaşık değil birebirdir.
  3. Faz 2 iki SBOM'u diff'ler ve değişen her bağımlılıkta 6 sinyali koşar: EPSS exploit olasılığı ve CISA KEV bayraklı CVE sorgusu, top-1000 paket kataloğuna karşı 0.85 eşikli Jaro-Winkler typosquat tespiti, Bayesçi maintainer yaşı skorlaması (xz deseni: genç hesap, ani aktivite, sahiplik devri), SPDX lisans politikası (GPL/AGPL red), çoklu major versiyon sıçraması ve yeni-yayınlandı bayrakları.
  4. Faz 3 SARIF'i code scanning sekmesine yükler ve tek bir yapışkan PR yorumunu günceller; findings-only modu temiz PR'ları sessiz tutar, sinyal gürültüde boğulmaz.
  5. Karar tavsiye değil zorlamadır: kritik CVE veya typosquat bulgusu hata koduyla çıkar ve merge'i keser; bu Renovate ve Dependabot otomatik merge'inin riskli yükseltmeleri geçirmesini de durdurur.
  6. İstisnalar yalnızca süreli susturmadan geçer (tarihli suppress yorumu, en fazla 90 gün) artı aylık gözden geçirme; kabul edilen risk fosilleşmez, yeniden yüzeye çıkar.
Kullanım senaryoları · taktığında neler oluyor

Tek güç kaynağı. 6 hat dışarı.

supply-chain-risk-scoring · çekirdek

çekirdek aktif · 6 hat

  1. Bir Renovate veya Dependabot otomatik birleştirme PR'ını risk puanıyla kapı altına almak

    ✓ bir renovate veya depend…

  2. Typosquat edilmiş bir geçişli bağımlılığı, repoya girmeden yakalamak

    ✓ typosquat edilmiş bir ge…

  3. Kritik bir pakette yeni oluşturulmuş bir bakımcı hesabını işaretlemek

    ✓ kritik bir pakette yeni

  4. Semver aralıklarını atlayan büyük bir sürüm sıçramasını incelemek

    ✓ semver aralıklarını atla…

  5. Ticari kodda GPL/AGPL'yi reddeden bir lisans politikası uygulamak

    ✓ ticari kodda gpl/agpl'yi

  6. Yapışkan bir PR yorumu olarak bayt-belirlenimli SBOM farkı üretmek

    ✓ yapışkan bir pr yorumu o…
Kazanımlar · elinde kalanlar

Aldıkların sende kalır.

Zamanı ileri sar. Ne kaldığını izle.

Sonsuza dek

Sahip olmak tam olarak bu.

Kiralık yığın

yapay zekâ yazım aracı: abonelik

süresi doldu · erişim gitti

analiz paketi: abonelik

süresi doldu · erişim gitti

tasarım platformu: abonelik

süresi doldu · erişim gitti

(geriye bir şey kalmadı)

Senin ocağın

  1. Bir bağımlılık farkında neyin değiştiğini birleştirmeden önce tam olarak görün

    lisans: kalıcı

  2. Salt CVE tarayıcılarının kaçırdığı typosquat ve bakımcı-devralma saldırılarını durdurun

    lisans: kalıcı

  3. Bir paket bakımcı kümesini aniden değiştirdiğinde otomatik birleştirme botlarını engelleyin

    lisans: kalıcı

  4. Yalnızca-bulgu yorumları ve KRİTİK/YÜKSEK eşikleriyle gürültüyü düşük tutun

    lisans: kalıcı

abonelikler biter · tapular bitmez

Ne içerir · eksiksiz manifest

Kutudaki her şey.

Bir parçayı eline al. Çalışırken izle.

SBOM'ları anlık yakalayan, farklarını alan ve yapışkan bir PR yorumu yazan savunmacı bir CLI sarmalayıcısı

parça 01 / 06 · kutuda

6 parça · tek çalışan sistem · e-postayla anında teslim

Kimler için

Bu herkes için dövülmedi.

  • Araç kiralamayı sahip olmaya tercih ediyorsan, sana göre değil.
  • Yığınını senin yerine başkası yönetsin istiyorsan, sana göre değil.
  • Tahmin etmekten memnunsan, sana göre değil.
Hâlâ burada mısın? Güzel.

Her şeyi tarayan araçlarının yanında diff-zamanlı bir kapı isteyen, bağımlılık yükseltme PR'larını inceleyen ekipler.

o zaman bu senin için dövüldü.

Hangi AI ile çalışır

Tasarımı gereği evrensel: her yapay zekada çalışır. Açık Agent Skills + MCP biçiminde gelir (Claude’da yerleşik); ChatGPT, Gemini, Cursor ve Copilot aynı dosyaları kendine uyarlar.

  • Claude Yerleşik biçim
  • ChatGPT Açık standartla uyarlanır
  • Gemini Açık standartla uyarlanır
  • Cursor Açık standartla uyarlanır
  • Copilot Açık standartla uyarlanır
Sorular · hâlâ havada

Aklındakini yakala.

hava temizlendi. seninle ocak arasında hiçbir şey kalmadı.
bir kıvılcım yakala: ocak cevaplar

  1. Zaten Dependabot ve bir zafiyet tarayıcı kullanıyoruz. Bu paketle çakışmaz mı?

    Farklı bir soruya cevap verir. Tarayıcılar tüm envanterinizde hangi zafiyetlerin var olduğunu söyler; bu paket tek bir PR diff'inde neyin değiştiğini puanlar: typosquat edilmiş paketler, yeni açılmış bakımcı hesapları, lisans değişimleri, yani CVE tarayıcıların kaçırdığı uzun vadeli saldırılar. Mevcut araçlarınızın yanında çalışmak için tasarlandı; Renovate veya Dependabot otomatik birleştirmesini kapılamak dahil.

  2. Typosquat'ı veya bakımcı devralmasını gerçekte nasıl yakalıyor?

    Altı sinyalin ikisi bunun için var: Jaro-Winkler dize mesafesi tespitçisi yeni bağımlılık adlarını sekiz paket ekosisteminde karşılaştırır; Bayesçi bakımcı-risk puanlayıcısı ise genç hesapları ve yakın tarihli sahiplik değişimlerini işaretler, yani xz vakası deseni. İkisi de SBOM farkı üzerinde çalışır; PR'ın getirdiği bileşenlerde tetiklenir.

  3. Tüm bağımlılık ağacımı sürekli tarar mı?

    Hayır, bu bilinçli bir tercih. Bu bir diff-zamanı kapısıdır: yalnızca pull request'te değişeni, birleştirmeden önce puanlar. Sürekli tam envanter taraması, çalışma zamanı izleme ve zafiyet yönetimi mevcut tarama araçlarınızda kalır; bu paket onların değişim anında bıraktığı boşluğu doldurur.

  4. Nasıl teslim edilir?

    Satın alımdan hemen sonra e-posta ile iletilir, kuruluma hazır, anında indirilir; bekleme yok.

  5. Tek seferlik mi, abonelik mi?

    Tek seferlik alımdır; abonelik veya gizli ücret yoktur. Fiyata KDV (%20) dahildir.

  6. İade alabilir miyim?

    Dijital ürün olduğu için indirildikten sonra iade yapılmaz. Bu yüzden ne içerdiğini ve kime uygun olduğunu burada açıkça paylaşıyoruz.

İlgili ürünler

Tüm beceriler →
Güvenlik Skill

Anti Reversing Techniques

Yetkili yazılım analizi sırasında karşılaşılan anti-reversing, obfuscation ve koruma tekniklerini anlamak için yapılandırılmış bir başvuru kaynağı.

₺369
İncele →
Güvenlik Skill

Attack Tree Construction

Bir saldırganın hedefe nasıl ulaştığını modelleyip bu haritayı savunma önceliklerine çeviren sistematik bir yöntem ve Python araç seti.

₺369
İncele →
Güvenlik Skill

Auth Implementation Patterns

Sahada test edilmiş kimlik doğrulama ve yetkilendirme desenlerinin eksiksiz bir referansı: yenileme tokenlı JWT, Redis tabanlı oturumlar, OAuth2 sosyal giriş ve katmanlı RBAC.

₺369
İncele →