SheepNav
Refuse

Refuse

refuse.dev

拦截漏洞包安装,守护AI与开发者

16天前制作者:Gokul

关于 Refuse

Refuse 是一款开源、可自托管的工具,以单个 Docker 容器形式运行,位于 npm、pip、cargo、gem、go 等 18 个主流包管理器之前,实时拦截已知存在漏洞的软件包安装。当您或您的 AI 编码代理执行安装命令时,Refuse 会在包写入磁盘前即刻拒绝,从源头阻断安全风险。

核心功能

Refuse 作为代理层透明地接入包管理流程,无需修改现有工作流。它维护一个实时更新的漏洞数据库,在每次安装请求时快速比对,一旦发现匹配的已知漏洞包,立即阻止安装并返回告警信息。

主要特性

  • 多包管理器支持:覆盖 npm、pip、cargo、gem、go 等 18 种主流包管理器,几乎满足所有开发语言需求。
  • 实时拦截:在包下载到磁盘之前即完成检测,杜绝漏洞包落地,防止后续被意外引入。
  • AI 友好:专为 AI 编码代理设计,当 AI 自动安装依赖时,Refuse 可自动拦截有风险的包,避免 AI 引入安全隐患。
  • 开源可自托管:完全开源,支持 Docker 一键部署,数据和控制权完全掌握在自己手中。
  • 轻量高效:单个 Docker 容器即可运行,资源占用低,对开发流程几乎无性能影响。

适用场景

  • 团队开发环境:统一安全策略,防止开发者无意中安装带漏洞的依赖。
  • CI/CD 流水线:在构建阶段自动拦截漏洞包,提升软件供应链安全性。
  • AI 编码代理集成:为自动编码工具提供安全屏障,确保 AI 生成的代码依赖安全可靠。
  • 个人安全防护:开发者本地使用,养成安全安装习惯。

相关工具