Veln — every package, verified

Veln 是一款本地代理工具，能够在 npm 和 pip 包下载前对其进行安全评分，有效阻断供应链攻击。它通过分析超过20项信任信号（如 CVE、维护者变更、安装脚本、隐藏载荷等），在包到达磁盘之前就做出判断。你无需改变任何工作流程，依然使用相同的命令和锁文件，Veln 在后台默默守护你的开发环境。

核心功能

Veln 作为本地代理，拦截所有 npm 和 pip 安装请求，实时评估每个包的安全性。它利用20多项信任信号进行综合评分，包括已知漏洞（CVE）、维护者活跃度、安装脚本行为、隐藏载荷等。一旦发现恶意或高风险包，Veln 会立即拒绝下载，防止它们进入你的项目。

主要特性

• 实时阻断：在包下载前即完成安全评估，阻止恶意包进入开发环境。
• 多信号评分：综合20多项信任信号，包括 CVE、维护者漂移、安装脚本、隐藏载荷等。
• 零工作流变更：无需修改命令或锁文件，无缝集成现有开发流程。
• 覆盖 npm 和 PyPI：同时保护 JavaScript 和 Python 生态，应对两大主流包管理器的供应链风险。
• 本地部署：作为本地代理运行，数据不出网，保护隐私。

适用场景

• 企业开发团队：防止恶意包通过 npm 或 PyPI 进入内部项目，降低供应链攻击风险。
• 开源项目维护者：在集成依赖前自动过滤可疑包，保护项目安全。
• 安全审计人员：快速评估包的安全性，识别潜在威胁。
• 个人开发者：为个人项目增加一层安全防护，避免意外引入恶意代码。