分析Git仓库供应链风险
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
LowEndInsight 是一个面向开源软件供应链风险分析的开发者工具,页面定位为“Open source supply chain risk and agentic analysis”。它可以分析公开 Git 仓库,也可以分析 CycloneDX 或 SPDX JSON 格式的 SBOM,用于识别贡献者风险、提交活跃度、依赖/供应链风险,以及由机器人或 AI agent 产生的提交比例。
其核心指标包括 contributor count、bus factor、functional contributors、commit currency、large recent commit risk、SBOM risk 等,适合评估项目是否维护健康、是否过度依赖少数贡献者、最近提交是否异常巨大。比较有特色的是 Agentic Classification:根据自动化或 AI 贡献者提交比例,将仓库分为 human、mixed、agent,其中 human 小于 0.3,agent 高于 0.7。API 方面提供 /v1/analyze、/v1/analyze/{uuid}、/v1/analyze/sbom,以及缓存导入导出和统计接口,并有 Swagger 与 OpenAPI Spec,curl 示例清晰,上手门槛较低。
页面标注 Source Code、BSD 3-Clause License、v0.9.4,属于较开放的开源项目。其缓存导出和导入接口明确服务于 air-gapped deployment,说明对隔离环境或内网预热缓存有一定考虑。生态方面,正文只明确了公开 Git 仓库、GitHub token 相关能力,以及 CycloneDX/SPDX SBOM;没有看到 SDK、CI/CD 插件、IDE 插件或安全平台集成说明。
抓取文本未提供定价、免费额度、认证方式、限流或商业支持信息,因此无法判断其线上服务成本。文档质量在 API 入门层面不错:Quick Start、端点列表、风险指标、风险等级、Swagger/OpenAPI 都具备;但部署步骤、风险模型解释、误报处理、权限配置等深度文档仍显不足。
优点是开源、指标聚焦、API 简洁,并同时支持仓库和 SBOM;缺点是集成生态和商业支持信息有限,示例主要围绕 GitHub,部分检测还依赖 GitHub token。它适合 DevSecOps、开源治理、安全审查团队在依赖准入、项目健康度评估、SBOM 风险盘点中使用。
页面未提供中国区访问、镜像、支付或合规信息,实际连通性未知。如访问不稳定,可关注 OpenSSF Scorecard、Socket.dev、Snyk、Sonatype、Mend 或 GitHub Dependabot 等替代方案。
本测评基于公开资料整理,不构成购买建议,请以 lowendinsight.dev 官网实际信息为准。
提供API和OSS风险分析,对开发者有用。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。