開源軟體優先看安全

鐵律： 任何 GitHub / PH / IH / HF / HN 找到的工具，用進 BFO 系統前必過安全篩。

Why: 2026-04-25 17:34 vampire 下令「任何開源軟體 要優先看軟體安全不安全」。

供應鏈攻擊事件（typosquatting / 偷植入 malware / 後門 / token stealer）2024-2026 在 npm/PyPI/GitHub 越來越多。BFO 整套基礎設施跑在 vampire Mac 上、含他 Gmail App Password / Cloudflare cert / keychain，任何進系統的 OSS 工具都是潛在攻擊面。

How to apply — 8 個安全 checkpoint

必過（不過 = 不用）

1. Star 數 ≥ 100：草創期專案不用
2. 發布 ≥ 90 天：剛發布的 typosquat 可能性大
3. License 存在且開源 友善（MIT / Apache / BSD）：無 license 不用
4. 最近 commit ≤ 90 天：abandoned 不用

強烈警告

5. 無單元測試 / 無 CI：跳過
6. dependencies 樹複雜（>50 transitive deps）：跳過
7. 權限過大（要 root / 要 keychain / 要 .env 全讀）：跳過
8. 作者匿名 / 帳號 < 6 個月：跳過

紅旗（直接 ban）

• 含 eval / exec 跑遠端 string code
• 啟動時打外部 server（無說明）
• 自動更新無簽章驗證
• 拿 token / 帳密 / 信用卡資訊（除非明確聲明）

對 scouts.py 的影響

scouts 列出 trending 時必須附安全等級： - 🟢 安全（過 8 條） - 🟡 中等（過 必過 4 條、強烈警告 < 2） - 🔴 不建議（紅旗 / 強烈警告 ≥ 2）

任何要實際裝進 BFO 系統的 OSS： 1. 先過 8 條 checkpoint 2. fork 到 BFO GitHub org（vampire 之後設）pin 特定 commit、不直接 npm/pip 安裝 3. 跑前用 --dry-run 模式驗證、看它做了什麼 4. 限制權限（不給 root、不給 .env 讀寫、不給 network out）

結合 YZ + 第一性原理 + 資格四問

加 OSS 工具到 BFO = 也要過三閘： - 第一性原理：解什麼不可再拆痛點？（不是「跟風」用熱門） - YZ filter：用了之後是「資產加成」還是「事件依賴」？ - 資格四問：我們因此擁有別人沒有的差嗎？

加上「安全 checkpoint」= 四閘關卡。

警戒語句

• 「最近 trending 我來裝看看」 → 慢著、過安全篩
• 「應該沒問題吧」 → 紅旗、停手
• 「我看 README 寫得不錯」 → README 是 marketing、要看 code