Automic VaultAutomic Vault

brew

npq を Homebrew でインストール

npq のインストール経路、実行ファイル、メタデータ、AI エージェント向けセキュリティノートを確認します。

インストール

追加のインストールコマンド

macOS

Homebrew確認済み · 100%
brew install npq

local Homebrew formula metadata

概要

パッケージ概要

Audit npm packages before you install them

コマンドとエイリアス

  • npq
  • npq-hero

履歴

プロジェクトの歴史と使われ方

npq is a Node.js command-line security wrapper that audits npm package installs before handing off to the real package manager. The npm package was created on 2017-11-28, and the GitHub repository was created on 2017-12-14.

プロジェクトの歴史

The project grew out of concern about npm supply-chain risk: newly published packages, low-download typo targets, missing metadata, vulnerable packages, and pre/post-install scripts. Its README says npq performs syntactic heuristics and queries a CVE database, then delegates the actual install to npm by default or another package manager selected through NPQ_PKG_MGR.

The npm registry metadata consulted for this batch reported latest version 3.19.6 published on 2026-06-03 and 176 published versions. The README also documents npq-hero, an alias/wrapper path for embedding npq into day-to-day npm usage.

採用の歴史

npq is smaller than npm-check-updates but has durable adoption among JavaScript developers who want an interactive pre-install safety check. Its README lists third-party coverage and mentions in npm security discussions, and the GitHub metadata consulted for this batch reported about 1.8k stars.

npm's public downloads API reported 32,098 downloads for npq from 2026-05-30 through 2026-06-28 and 171,829 downloads from 2025-06-29 through 2026-06-28. Homebrew analytics reported 1,862 formula installs over its 365-day window.

使われ方

Package nerds use npq when installing unfamiliar packages, especially ad hoc CLI tools or direct dependencies discovered during development. Typical usage is npq install express, npx npq install express --dry-run, or aliasing npm to npq-hero so package installs pass through the checks automatically.

npq's checks are intentionally heuristic, not a proof of safety. The useful behavior is friction: warn on risky signals such as very new packages, missing README or license metadata, known vulnerabilities, install scripts, maintainer/publisher concerns, and low popularity before executing the actual package-manager install.

パッケージ好きにとっての重要性

npq represents the npm ecosystem's shift from post-install vulnerability scanning toward pre-install package-health review. It is part of the same cultural space as minimum release age, lockfile linting, provenance checks, and package firewalls.

タイムライン

  • 2017-11-28: npm registry package npq created.
  • 2017-12-14: GitHub repository lirantal/npq created.
  • 2026-06-03: npm registry metadata reports version 3.19.6 published.

Related projects

  • npm audit
  • Snyk
  • Socket Firewall
  • lockfile-lint
  • npq-hero
  • pnpm
  • bun

セキュリティ状態

保護ツール対応はまだ見つかっていません

npq に一致するローカルシークレット処理マニフェストは見つかりませんでした。将来の対応で安定したパッケージ URL を使えるよう、Nucleus パッケージメタデータはここに公開されています。

インストール挙動

  • formula メタデータに Homebrew post-install フックは記録されていません。
  • Homebrew bottle メタデータは 1 個のプラットフォームターゲットで利用できます。
  • 1 件の実行時依存関係とともにインストールされます。

推奨レビュー

エージェントに無人実行させる前に、このツールが平文の認証情報を読むか、リモート状態を書き込むか、成果物を公開するか、プラグインを起動するかを確認してください。

実行可能ファイル

インストールされる実行可能ファイル

コマンド種類公開範囲メモ
npqcliグローバル実行可能ファイル
npq-herocliグローバル実行可能ファイル

鮮度

バージョンと鮮度

これらの信号は、ページ生成時期、パッケージマネージャの活動、上流リリース比較を分けて示します。バージョン遅れは、証拠 URL と比較可能なバージョンがある場合だけ警告されます。

ページ生成日2026-07-08
マネージャ版3.20.0
マネージャ更新日2026-07-08
ローカルデータOK
上流not checked
検出された最新未検出

https://github.com/lirantal/npq

インストールメタデータ

パッケージメタデータ

パッケージキーbrew:npq
バージョン3.20.0
パッケージマネージャHomebrew
パッケージマネージャページhttps://formulae.brew.sh/formula/npq
ホームページhttps://github.com/lirantal/npq
リポジトリhttps://github.com/lirantal/npq
上流ドキュメントhttps://github.com/lirantal/npq#readme
ライセンスApache-2.0
ソースアーカイブhttps://registry.npmjs.org/npq/-/npq-3.20.0.tgz
最終更新2026-07-08T09:52:12Z
Pulseupdated
依存関係node
Bottle利用可能 (対象 all)
Homebrew post-install未定義
サービス宣言なし

レジストリ情報

ソースデータベース詳細

Source DatabaseHomebrew formula API
Taphomebrew/core
Full Namenpq
Version Scheme0
Revision0
Bottle Stable Root URLhttps://ghcr.io/v2/homebrew/core
Deprecatedno
Disabledno
Keg Onlyno
URL Keys
  • stable

ソース経路

リポジトリデータから生成

このページは scripts/generate-pkg-sqlite.py が生成した非公開のパッケージ SQLite アーティファクトから av-web によって提供されます。

使用ソース

  • Geiger risk classifier
  • Nucleus package database
  • av.db category and tag curation
  • cross-ecosystem install command graph
  • curated package history
  • package relationship graph
  • package version freshness
  • package-page enrichment