最近开源供应链安全的话题聊得挺火的。
我自己每次 cargo install 一个陌生 crate 之前,总是会先去看看这个仓库靠不靠谱。于是干脆动手做了一个本地 CLI 工具 —— rgd(Repo Guardian)。
用 Rust + clap + reqwest + tokio 写的,标准 CLI 那一套,上手非常直接。
核心功能是给 GitHub 仓库做快速体检:几秒钟就能跑出一个 0-100 的健康分,同时列出最值得优先修复的前 3 件事。如果缺少 SECURITY.md 或 CONTRIBUTING.md,还能直接用 --fix 在本地生成规范模板。
当然,OpenSSF Scorecard 更严谨、更全面,但它主要通过 Docker 或 GitHub Action 使用。我想要的是那种随手一敲就出结果的体验,就像 git status 一样。
目前 rgd 定位是轻量级本地扫描,所以检查项比 Scorecard 少一些,也没有 SARIF 等机器可读输出,接 CI 管线还不太顺畅,网络密集场景下也有继续优化的空间(GitHub API 并发这一版已经优化过了)。
以后也可以扩展到其他垂类场景,只需要调整评分权重、检查维度和 fix 模板就行。
对这方面感兴趣的佬友欢迎来看看~
GitHub: GitHub - teee32/repo-guardian: Tiny local-first CLI for GitHub repository health checks · GitHub
1 个帖子 - 1 位参与者
来源: linux.do查看原文