Automic VaultAutomic Vault

brew

npq mit Homebrew installieren

Prüfe Installationswege, Executables, Metadaten und Sicherheitshinweise für npq in AI-Agent-Workflows.

Installation

Weitere Installationsbefehle

macOS

Homebrewverifiziert · 100%
brew install npq

local Homebrew formula metadata

Überblick

Paketzusammenfassung

Audit npm packages before you install them

Befehle und Aliase

  • npq
  • npq-hero

Verlauf

Projektgeschichte und Nutzung

npq is a Node.js command-line security wrapper that audits npm package installs before handing off to the real package manager. The npm package was created on 2017-11-28, and the GitHub repository was created on 2017-12-14.

Projektgeschichte

The project grew out of concern about npm supply-chain risk: newly published packages, low-download typo targets, missing metadata, vulnerable packages, and pre/post-install scripts. Its README says npq performs syntactic heuristics and queries a CVE database, then delegates the actual install to npm by default or another package manager selected through NPQ_PKG_MGR.

The npm registry metadata consulted for this batch reported latest version 3.19.6 published on 2026-06-03 and 176 published versions. The README also documents npq-hero, an alias/wrapper path for embedding npq into day-to-day npm usage.

Adoptionsgeschichte

npq is smaller than npm-check-updates but has durable adoption among JavaScript developers who want an interactive pre-install safety check. Its README lists third-party coverage and mentions in npm security discussions, and the GitHub metadata consulted for this batch reported about 1.8k stars.

npm's public downloads API reported 32,098 downloads for npq from 2026-05-30 through 2026-06-28 and 171,829 downloads from 2025-06-29 through 2026-06-28. Homebrew analytics reported 1,862 formula installs over its 365-day window.

Wie es verwendet wird

Package nerds use npq when installing unfamiliar packages, especially ad hoc CLI tools or direct dependencies discovered during development. Typical usage is npq install express, npx npq install express --dry-run, or aliasing npm to npq-hero so package installs pass through the checks automatically.

npq's checks are intentionally heuristic, not a proof of safety. The useful behavior is friction: warn on risky signals such as very new packages, missing README or license metadata, known vulnerabilities, install scripts, maintainer/publisher concerns, and low popularity before executing the actual package-manager install.

Warum Paket-Nerds sich dafür interessieren

npq represents the npm ecosystem's shift from post-install vulnerability scanning toward pre-install package-health review. It is part of the same cultural space as minimum release age, lockfile linting, provenance checks, and package firewalls.

Zeitleiste

  • 2017-11-28: npm registry package npq created.
  • 2017-12-14: GitHub repository lirantal/npq created.
  • 2026-06-03: npm registry metadata reports version 3.19.6 published.

Related projects

  • npm audit
  • Snyk
  • Socket Firewall
  • lockfile-lint
  • npq-hero
  • pnpm
  • bun

Sicherheitslage

Noch keine Protected-Tool-Abdeckung gefunden

Für npq wurde kein passendes lokales Secret-Handling-Manifest gefunden. Nucleus-Paketmetadaten bleiben hier veröffentlicht, damit künftige Abdeckung eine stabile Paket-URL hat.

Installationsverhalten

  • In den Formelmetadaten ist kein Homebrew-Post-install-Hook erfasst.
  • Homebrew-Bottle-Metadaten sind für 1 Plattformziele verfügbar.
  • Installiert mit 1 Laufzeitabhängigkeiten.

Empfohlene Prüfung

Prüfe vor unbeaufsichtigter Agent-Nutzung, ob das Tool Klartext-Credentials liest, Remote-Zustand schreibt, Artefakte veröffentlicht oder Plugins ausführt.

Executables

Installierte Executables

BefehlArtSichtbarkeitHinweis
npqcliglobales Executable
npq-herocliglobales Executable

Aktualität

Version und Aktualität

Diese Signale trennen das Alter der Seitengenerierung, Aktivität des Paketmanagers und Upstream-Release-Vergleich. Versionsrückstand wird nur gemeldet, wenn eine Evidenz-URL und vergleichbare Versionen vorhanden sind.

Seite generiert2026-07-08
Manager-Version3.20.0
Manager aktualisiert2026-07-08
lokale DatenOK
Upstreamnot checked
neueste erkannte Versionnicht erkannt

https://github.com/lirantal/npq

Installationsmetadaten

Paketmetadaten

Paketschlüsselbrew:npq
Version3.20.0
PaketmanagerHomebrew
Paketmanager-Seitehttps://formulae.brew.sh/formula/npq
Homepagehttps://github.com/lirantal/npq
Repositoryhttps://github.com/lirantal/npq
Upstream-Dokumentationhttps://github.com/lirantal/npq#readme
LizenzApache-2.0
Quellarchivhttps://registry.npmjs.org/npq/-/npq-3.20.0.tgz
Zuletzt aktualisiert2026-07-08T09:52:12Z
Pulseupdated
Abhängigkeitennode
Bottleverfügbar (auf all)
Homebrew post-installnicht definiert
Dienstkeiner deklariert

Registry-Fakten

Details aus der Quelldatenbank

Source DatabaseHomebrew formula API
Taphomebrew/core
Full Namenpq
Version Scheme0
Revision0
Bottle Stable Root URLhttps://ghcr.io/v2/homebrew/core
Deprecatedno
Disabledno
Keg Onlyno
URL Keys
  • stable

Quellspur

Aus Repository-Daten generiert

Diese Seite wird von av-web aus dem privaten Paket-SQLite-Artefakt bereitgestellt, das scripts/generate-pkg-sqlite.py erstellt.

Verwendete Quellen

  • Geiger risk classifier
  • Nucleus package database
  • av.db category and tag curation
  • cross-ecosystem install command graph
  • curated package history
  • package relationship graph
  • package version freshness
  • package-page enrichment