最新

大家好， 注意到人工智能代理在构建时喜欢生成巨大的文件，因此开始构建一个MCP来缓解这个问题，结果得到了一个叫做tarball的东西。 总之，受到Matt Pocock的“grill me”技能的启发，希望大家喜欢。 https://github.com/tonycdr-prog/architect-mcp

我注意到每次关于 npm/pnpm/yarn/bun/uv 供应链的帖子最后都会给出相同的建议（设置最小发布年龄，关闭安装脚本）。虽然我知道冷却时间是“有争议的”，但它确实有效。然而，即使你说服人们设置冷却时间，似乎很多人最终并没有付诸实践，不知道为什么，也许是因为这意味着要手动编辑五个配置文件，使用五种不同的格式和五种不同的时间单位，或者可能是“这不会发生在我身上”的心理（或者“我稍后再做，这看起来很复杂”，而实际上其实非常简单）。因此，我创建了一个工具，可以检查你所设置的内容并为你修复它。我首先寻找现有的工具，但没有找到。这个项目开始时只是一个小的周末项目，后来变成了一个关于不同包管理器冷却时间细微差别的小型研究项目。这不是 P vs NP 的证明，但它是一个小的便利，可以帮助你和你所爱的人免受下一个供应链攻击的影响。我在几个 HN 讨论中提到过这个工具（<a href="https://news.ycombinator.com/item?id=47878158">https://news.ycombinator.com/item?id=47878158</a> 和 <a href="https://news.ycombinator.com/item?id=48156360">https://news.ycombinator.com/item?id=48156360</a>），但实际上从未为这个工具做过 Show HN。 如果你知道如何编辑你的 ~/.npmrc，哪些设置适用于 npm 和 pnpm，以及哪个需要分钟、天或秒，你可能不需要这个工具。但如果你喜欢代码，只想要一键修复（或者你拥有斯坦福大学计算机科学的博士学位，曾在 FAANG 工作，创办过 3 家 YC 公司，现在在 Anthropic 工作，仍然只想要一键修复），请继续阅读。 DepsGuard 是一个单一的 Rust 二进制文件，没有运行时依赖，采用 MIT 许可证。运行 depsguard，它会扫描你的用户级和仓库级配置，显示一个已设置和未设置的表格，你可以选择要更改的内容，按 d 查看差异，然后应用。它首先会写一个带时间戳的备份，而 depsguard restore 可以将其恢复。如果你只想要报告，depsguard scan 是只读的。 这些设置是简单有效的：min-release-age / minimumReleaseAge（npm、pnpm、yarn、bun 和 uv 的命名不同，使用的时间单位也各异，这也是手动操作时令人烦恼的一半原因）、ignore-scripts，以及在较新的 pnpm 中的 block-exotic-subdeps、trust-policy: no-downgrade 和 strict-dep-builds。它还处理 Renovate 和 Dependabot 的冷却时间。 整个工具的核心在于时机。恶意的 @bitwarden/cli 版本 2026.4.0 上线约 19 小时，获得了 334 次安装。axios 被引入约 3 小时，ua-parser-js 几小时，node-ipc 则需要几天。7 天的门槛意味着你的安装程序永远无法解析这些，它们在窗口打开之前就已经消失了。对于那些慢的包（event-stream 等待了 2 个月以上），这个工具没有任何作用，而且它不是 SCA，它不会扫描你现有的锁定文件以查找已知的 CVE，那是另一个层面的问题。 披露：我是 Arnica（一个商业应用安全初创公司）的联合创始人兼首席技术官，我之所以开发这个工具，是因为在每篇博客文章上重复相同的建议感觉像是在对着云喊叫。这个工具是免费的，采用 MIT 许可证，无需账户，无需遥测。我也不是唯一想到这个主意的人（当时并不知道），cooldowns.dev 在更多生态系统中处理冷却时间，并提供一个 shell 辅助工具，值得一看。DepsGuard 涉及的生态系统较少，但增加了其他设置以及差异/备份/恢复流程。 如果你想尝试：cargo install depsguard，或者使用 brew/apt/winget/scoop，所有信息都在 README 中。 <a href="https://github.com/arnica/depsguard" rel="nofollow">https://github.com/arnica/depsguard</a>（完整的设置表和常见问题在 depsguard.com） 这是否是一个可以用 shell 脚本实现的过度设计？可能是的（但我想要 Windows 支持，为什么不呢）。 它是否拯救了某人免受供应链攻击？也可能是的。 我是否个人认识某个没有这个工具就不会在反复请求后更改设置的人，但最终在我给他们 depsguard 后做了？绝对是的。