← Все проекты
Проект / Python

HacktronAI/cull: Cull — сканер скомпрометированных npm-пакетов в инфраструктуре

Находит взломанные npm-пакеты в локальных проектах, Docker-образах и GitHub-репозиториях без лишних зависимостей.

Инструмент для поиска известных скомпрометированных npm-пакетов в различных средах: локальных директориях, GitHub-организациях, Docker-образах и Google Cloud Registry. Особенность — сознательный отказ от публикации в PyPI, чтобы не создавать новую точку...

★ 15 Python Форки 0 Issue 0 Оценка 6/10 Карточка проверена
Открыть на GitHub Помочь с установкой

Для кого это

Для DevOps-инженеров и специалистов по безопасности, которые работают с JavaScript/TypeScript проектами и хотят быстро проверить инфраструктуру на наличие известных уязвимых пакетов.

Проблема / задача

Когда в экосистеме npm появляется скомпрометированный пакет (как axios@1.14.1), нужно быстро проверить все проекты и образы, но ручной поиск занимает часы, а тяжёлые сканеры требуют сложной настройки.

Как это работает

Cull анализирует lock-файлы (package-lock.json, yarn.lock и другие), node_modules, использует GitHub API для поиска по коду и проверяет слои Docker-образов. Он различает версии — понимает, когда уязвимая версия зафиксирована, а когда обновлена до безопасной. Работает только на стандартной библиотеке Python, не требует установки дополнительных пакетов.

Что видно по README

Инструмент для поиска известных скомпрометированных npm-пакетов в различных средах: локальных директориях, GitHub-организациях, Docker-образах и Google Cloud Registry. Особенность — сознательный отказ от публикации в PyPI, чтобы не создавать новую точку уязвимости в цепочке поставок. Устанавливается только через git clone.

Ключевые возможности

Проверка локальных директорий и lock-файловСканирование GitHub-организаций через APIАнализ Docker-образов (локальных и удалённых)Версионная осведомлённость — отличает опасные версии от безопасных

Технологии

Python 3.9+Docker CLI (опционально)Google Cloud SDK (опционально)PythonDocker

Интересный факт

Проект принципиально не публикуется в PyPI — разработчики считают, что для security-инструмента публичный репозиторий пакетов создаёт дополнительную уязвимость в цепочке поставок.

С чего начать

  • Клонируйте репозиторий: git clone https://github.com/HacktronAI/cull.git
  • Запустите проверку: cull axios@1.14.1 --dirs ~/ваш_проект

Оценка GitRadar

Удобство
6/10
Свежесть
8/10
Перспектива
7/10
Монетизация
4/10
Общая оценка
6/10

Вердикт GitRadar

Стоит попробовать, если вам нужно быстро проверить проекты на конкретные скомпрометированные пакеты. Инструмент лёгкий и делает одну задачу хорошо, но пока сыроват — нет поддержки AWS ECR, Azure ACR и других популярных регистров.

Наблюдения по обновлениям

Проект активен, есть roadmap (планируется поддержка GitLab, Bitbucket, AWS ECR), но пока мало звёзд и контрибьюторов.

Что мы проверили

Карточка собрана по данным GitHub, README и структуре репозитория. Это не официальная документация проекта.

Исходный репозиторий
https://github.com/HacktronAI/cull
Создан на GitHub
31 марта 2026 г.
Последнее обновление репо
31 марта 2026 г.
Последняя проверка GitRadar
31 марта 2026 г.
Изученные файлы
README.md, pyproject.toml, cull/cli.py, cull.py, cull/__main__.py, cull/constants.py

FAQ

Что это такое?

Лёгкий сканер на Python для поиска известных взломанных npm-пакетов в инфраструктуре.

Для кого подходит?

Для DevOps и security-специалистов, которые работают с JavaScript/TypeScript стэком и хотят быстро проверить проекты на уязвимые зависимости.

Источники

  • GitHub исходный код и активность
  • README описание, ссылки, стартовые материалы

Нужна помощь с HacktronAI/cull?

Если проект подходит под ваш сценарий, можем помочь с установкой, интеграцией, доработкой или аккуратным форком под вашу инфраструктуру.

Смотреть услуги Открыть на GitHub Написать в Telegram