"Свет увидела" утилита StarGuard - CLI-инструмент от разработчика m-ahmed-elbeskeri, предназначенный для выявления фейковых звезд, рискованных зависимостей и лицензионных проблем в GitHub-репозиториях.
Вдохновленный исследованием Университета Карнеги - Меллона о 4.5 млн фальшивых звезд, StarGuard автоматизирует due diligence для CTO, безопасников и инвесторов. Инструмент анализирует публичные метаданные, вычисляя Fake Star Index (0–1) на основе активности аккаунтов, проверяет зависимости (npm, PyPI, Maven, Go, Ruby) на предмет непрописанных или теневых пакетов и сканирует лицензии, флагуя GPL/AGPL и другие риски.
Поддерживает вывод в text, JSON, markdown и опциональную генерацию графиков истории звезд.
StarGuard использует burst detection (MAD + эвристики) для обнаружения резких всплесков активности, профилирование бото-подобных аккаунтов и парсинг SBOM/манифестов. Работает с минимальными правами GitHub-токена (repo, read:user) или вообще без него, хотя с ограничениями API.
Среди фич: оценка концентрации контрибьюторов, анализ частоты коммитов и предупреждения об неактивности. Инструмент интегрируется в CI/CD, упрощая регулярные проверки. Установка простая:
pip install starguard, а запуск - starguard OWNER/REPO. Исходники под MIT, кастомизация приветствуется.