security 2026-04-28
GitHub 开源项目安全审查方法
如何审查开源项目的安全性,包括 package.json、Dockerfile、GitHub Actions。
安全GitHub审查开源
核心结论
重点检查 scripts、dependencies、Dockerfile、GitHub Actions。
## 审查重点
1. package.json scripts
2. dependencies 漏洞
3. Dockerfile 危险命令
4. GitHub Actions 权限
## 危险关键词
- postinstall
- preinstall
- curl | sh
- sudo
- rm -rf
- eval
## 工具
- npm audit
- Snyk
- Socket.dev
- Dependabot