jestasecurity/thumper
npm 공급망 공격을 잡기 위해 가짜 자격증명(honeytokens)을 배치하고 읽혀지는 순간 알림받는 자체 호스팅 보안 플랫폼
221+99이번 주0 찜
13포크37이슈
중간맛 분석
스택: Python 백엔드(FastAPI/Uvicorn) + JavaScript 프론트엔드(Vite) + 엔드포인트 에이전트, 한 이미지로 패킹. 난이도: 낮음— Compose 한 줄로 즉시 실행 가능. 설정: 대시보드에서 'tripwire'를 만들고 엔드포인트에 배포하면 끝. 플러그인 시스템: 알림 및 배포 채널을 YAML + Python으로 확장 가능. 데모: 스크린샷에서 실시간 alert feed와 fleet overview 확인 가능, Helm 배포도 지원.
이런 레포예요
이럴 때 쓰면 좋아요
- npm 공급망 공격(worm)에 의한 자격증명 탈취 감지
- 내부 엔드포인트 침입 시도 조기 발견 및 대응
- DevSecOps 파이프라인에서 credential-theft 모니터링
핵심 기능
자체 호스팅 honeytoken 플랫폼으로 fleet 관리플러그인 기반 alert 및 deploy 확장성Docker 한 이미지 또는 Kubernetes Helm으로 즉시 배포
대안 대비 차별점
npm 공급망 공격을 명시적으로 겨냥하면서 엔드포인트 fleet 전체에 자동 배포·관리되는 honeytokens를 제공해, 단순 canary-token 서비스보다 조직 규모의 supply-chain 위협 감지에 특화.
준비물
- Docker & Docker Compose (또는 Python 3.10+, Node.js)
- Kubernetes 배포 시 Helm 3+
바로 시작하기
- Docker Compose로 전체 스택 구동
docker compose up --build
- 브라우저에서 http://localhost:8000 접속 후 대시보드 열기
- 대시보드에서 tripwire 생성
- 엔드포인트에 설치 명령어 배포
- 엔드포인트 에이전트 실행 후 tripwire 수신 확인
- 가짜 자격증명이 읽혀지는 순간 실시간 alert 수신
소스 코드로 개발 모드 실행:
백엔드 터미널:
pip install -e .
uvicorn thumper.main:app --reload --app-dir server
프론트엔드 터미널(별도):
cd ui && npm install && npm run dev
Kubernetes 배포:
helm install thumper ./deploy/helm/thumper \
--set image.repository=ghcr.io/jestasecurity/thumper \
--set secrets.enrollToken=$(openssl rand -hex 24) \
--set secrets.installToken=$(openssl rand -hex 24) \
--set config.baseUrl=https://thumper.example.com
별 추이 · 7일
221+99 / 7일
활용성 · 따라 만들기 좋은가
따라 하기 좋음샘플 점수 52/100
- 관대한 라이선스
- 테스트 있음
- 예제 디렉토리
- 최근 활동
- AGENTS.md
- llms.txt
- 템플릿
🟢 최근 활동 있음 · 2026년 생성
이 레포에 깃밥 배지 달기
[](https://www.gitbap.com/r/jestasecurity/thumper)🔌 클로드에서 바로 써보기
깃밥을 클로드에 연결하면 이런 레포를 클로드·커서·Codex에서 바로 찾고 체험할 수 있어요.
방법 ① 커넥터 URL
클로드 설정 → 커넥터에 이 주소를 붙여넣기.
https://www.gitbap.com/api/mcp방법 ② 플러그인 (체험까지)
플러그인을 설치하면 /gitbap-trending·/gitbap-try 슬래시 커맨드로 레포를 그 자리에서 체험. Claude Code에서 아래 두 줄을 차례로 실행하세요.
/plugin marketplace add jakeparkcolde/gitbap-cowork/plugin install gitbap-cowork@gitbapAI가 README 기반으로 요약했습니다 · 원문 보기