Skip to main content
Open Source · MIT · Python 3.10+

npm
secure.

Escáner de seguridad, hardener y detector de malware para tus proyectos npm. Detecta supply chain attacks, secrets expuestos y configuraciones inseguras.

$ pip install npmsecure
10 comandos · 58 tests · MIT · Python 100%
npmsecure doctor --deep
Running security assessment...
✓ scan · no malware found
✗ harden · ignore-scripts: false
✓ locks · package-lock.json valid
✗ gitcheck · 2 secrets in history
✓ agents · MCP config OK
──────────────────────
Score: 72/100 · 2 issues found
Run: npmsecure harden
✦ Capacidades

seguridad en
toda la cadena.

🛡️
Supply Chain
Detección de malware
Escanea node_modules recursivamente. Identifica paquetes maliciosos y patrones sospechosos. Modo --quarantine para aislar sin borrar.
Recursivo--quarantineCVE
🔒
Hardening
Configuración segura
Corrige 6 defaults inseguros de npm: ignore-scripts, audit-level=moderate, save-exact=true. Con --dry-run para ver sin ejecutar.
ignore-scriptsaudit-level--dry-run
Pre-instalación
Bloqueo preventivo
Intercepta instalaciones antes de que npm las ejecute. Verifica edad del paquete, typosquatting y metadata del repositorio.
Pre-installTyposquattingMetadata
🔑
Secretos
Git history checker
Expone secrets y credenciales en el historial de git. Detecta .env expuestos y claves hardcodeadas antes de producción.
Secrets.envHistorial
🤖
IA Agents
Auditoría de agentes IA
Revisa configuraciones MCP de Claude Code, Cursor y Windsurf. Detecta permisos excesivos y configuraciones que exponen datos sensibles.
MCPClaudeCursor
📡
Threat Feed
Advisories en tiempo real
GitHub Advisory Database + OSV. Recibe vulnerabilidades nuevas filtradas por las horas que definas con --hours.
OSVGitHub Advisory--hours
✦ CLI

10 comandos.
un proyecto limpio.

Salida en SARIF (GitHub/GitLab), JSON para CI/CD, y exit codes 0/1/2 para pipelines. Integración nativa con cualquier workflow.

Ver en GitHub →
npmsecure --help
npmsecure scan [path] # Audita proyectos npm de forma recursiva
npmsecure harden [--dry-run] # Corrige defaults inseguros de npm
npmsecure locks [path] # Valida la salud del package-lock.json
npmsecure malware [--quarantine] # Detecta amenazas de supply chain
npmsecure install <pkg> # Verifica seguridad antes de instalar
npmsecure gitcheck [--history] # Expone secrets en git y .env
npmsecure threat-feed [--hours] # Advisories en tiempo real
npmsecure agents # Audita configs MCP de agentes IA
npmsecure policy-check [--init] # Enforcea políticas en CI/CD
npmsecure doctor [--deep] # Assessment completo del proyecto
✦ Open Source

secure your
supply chain.

npmsecure es open source y gratuito. 58 tests, MIT, Python 3.10+. Contribuciones bienvenidas.

Instalar
npmsecure
Requiere Python 3.10+. Disponible en PyPI y GitHub.
pip install npmsecure
Python 3.10+ PyPI MIT