Refuse.

Refuse — 开源安全拦截工具

Refuse 是一款专为开发者和 DevOps 团队设计的开源命令行工具，可在安装依赖包前自动拦截已知漏洞版本，防止恶意代码进入您的开发环境、CI 流水线或 AI 编码助手的工作流程。通过 36 万+ 安全通告数据库实时检测，Refuse 让您在输入安装命令的瞬间即可获得保护，无需改变现有工作习惯。

产品亮点

• 多生态统一拦截：单一二进制文件覆盖 npm、pip、cargo、gem、go、pnpm、yarn、bun、uv、poetry 等 18 种主流包管理器，实现跨语言安全管控
• 实时漏洞数据库：对接 362,000+ 安全通告，涵盖 21 个技术生态，包括 PyPI、npm、RubyGems、Maven、NuGet 及 GitHub Actions 等
• AI 友好设计：原生支持 Claude Code、Cursor、Codex 等 MCP 客户端，自动拦截 AI 助手可能误装的漏洞版本
• 灵活部署模式：可选择官方托管服务或完全私有化部署，支持本地 localhost 后端，满足企业合规要求
• 智能版本修复：自动推荐安全替代版本，通过 refuse fix 命令一键获取可安装的修正版本号

应用场景

• 开发环境防护：开发者在终端执行 npm install 或 pip install 时，自动阻断含 CVE 漏洞或恶意代码的包版本
• CI/CD 安全加固：集成至 GitHub Actions、Jenkins 等流水线，在构建阶段前置拦截，避免漏洞进入生产镜像
• AI 编码助手管控：为 Cursor、Windsurf、Claude Code 等工具配置安全边界，防止大模型因训练数据滞后而安装已知漏洞版本
• 容器镜像安全：扫描 Dockerfile 中的 apt、apk、dnf 指令及嵌套包管理器调用，阻断供应链攻击向量

目标受众

主要面向注重供应链安全的中高级开发者、DevOps 工程师及企业安全团队，特别适合使用多种编程语言技术栈、依赖 AI 辅助编程工具或需要满足 SOC 2、等保等合规要求的组织。