从恶意包、拼写仿冒包到过时依赖,分层评估供应链风险。
AI 可能推荐不存在的包(幻觉包)或拼写仿冒包(typosquatting),如何验证?
Agent 调用的 MCP Server、Skill 是否来自可信来源?是否经过安全审查?
生产环境使用的 Prompt 是哪个版本?调用的是哪个模型版本?如何审计?
发布的 Docker 镜像、npm 包是否经过签名?签名是否可以验证?
金融、政企等行业要求提供 SBOM,如何自动生成并维护?
制品从哪个仓库、哪次构建、哪个环境而来?全链路是否可追溯?
让包、镜像、模型、Prompt、Agent Skill、MCP Server 都有来源、有检查、有证据。
验证 AI 推荐的依赖是否真实存在,拦截 typosquatting 和恶意包。
实时扫描 CVE 漏洞、许可证风险、维护状态和依赖健康度。
统一管理模型、Prompt、Agent Skill,版本化、权限化、审计化。
自动生成 SBOM、签名证明(Attestation)和来源记录(Provenance),满足合规要求。
从代码仓库到生产部署,全链路可追溯、可验证、可审计。
安全接入 MCP Server,为 IDE 和 Agent 提供受控的上下文访问。
从现有制品库和依赖治理开始,把 AI 资产、策略和证据逐步纳入统一控制面。
梳理包、镜像、模型、Prompt、Agent Skill、MCP Server 和制品发布流程。
选择关键仓库、镜像仓库或模型资产接入 Opus,建立来源和策略检查。
生成 SBOM、签名证明(Attestation)、来源记录(Provenance)和风险报告,绑定发布审批。
扩展到多团队、多制品库和 AI 资产库,形成持续审计与合规运营。
支持 CycloneDX 1.4 和 SPDX 格式,自动生成并更新软件物料清单。
遵循 SLSA(Supply-chain Levels for Software Artifacts)框架生成签名证明。
记录制品的来源、构建环境、依赖关系和签名信息。
兼容 Sigstore 生态系统,支持透明日志和代码签名。
集成主流漏洞数据库,实时检测已知安全漏洞。
检测依赖的许可证类型,识别风险许可证(GPL、AGPL 等)。
金融、政企、制造等行业,需要严格的依赖管理和漏洞扫描。
需要管理模型、Prompt、Agent Skill 的 AI 应用开发团队。
需要 SBOM、签名证明(Attestation)、来源记录(Provenance)满足监管要求的企业。
让每一个依赖、模型和制品都有来源、有证明、有治理。
