secmanifest 1.0.0

package/README.md

@@ -0,0 +1,308 @@
+# secmanifest
+
+Herramienta de CLI para auditoria de seguridad profunda en proyectos JavaScript/TypeScript. Detecta vulnerabilidades, malware, backdoors, secrets expuestos y paquetes comprometidos antes de que te hackeen.
+
+## Instalacion
+
+### Opcion 1: Desde el repositorio
+
+```bash
+git clone https://github.com/tu-usuario/secmanifest.git
+cd secmanifest
+bun install
+bun run build
+bun link
+```
+
+### Opcion 2: Compilar directamente
+
+```bash
+bun install
+bun run build
+# El binario se genera como secmanifest.exe
+```
+
+### Requisitos
+
+- [Bun](https://bun.sh) >= 1.0
+- Un gestor de paquetes seguro: **pnpm**, **bun** o **yarn** (npm esta bloqueado por seguridad)
+
+## Comandos Disponibles
+
+### `secmanifest audit`
+
+Auditoria de seguridad completa. Ejecuta 10 escaners diferentes.
+
+```bash
+secmanifest audit                    # Audita directorio actual
+secmanifest audit ./mi-proyecto      # Audita un directorio especifico
+secmanifest audit --json             # Output en formato JSON
+secmanifest audit --quick            # Escaneo rapido (sin API externa)
+secmanifest audit --auto-fix         # Arregla paquetes inseguros automaticamente
+```
+
+#### Opciones
+
+| Flag | Descripcion |
+|------|-------------|
+| `--json` | Output en formato JSON para integracion con otros tools |
+| `--verbose` | Muestra errores detallados durante el escaneo |
+| `--quick` | Escaneo local sin consultar Sonatype OSS Index ni paquetes outdated |
+| `--auto-fix` | Arregla automaticamente paquetes con "latest" o deprecated |
+| `--skip-malware` | Omitir escaneo de malware y typosquatting |
+| `--skip-secrets` | Omitir escaneo de secrets y credenciales |
+| `--skip-licenses` | Omitir escaneo de licencias restrictivas |
+| `--skip-outdated` | Omitir escaneo de paquetes desactualizados |
+| `--skip-metadata` | Omitir escaneo de metadata sospechosa |
+| `--skip-obfuscation` | Omitir escaneo de codigo ofuscado |
+| `--skip-node-version` | Omitir chequeo de Node.js EOL |
+
+### `secmanifest check`
+
+Escaneo rapido de seguridad sin consultar APIs externas. Ideal para CI/CD o ejecuciones rapidas.
+
+```bash
+secmanifest check                    # Escaneo rapido
+secmanifest check --json             # Output JSON
+secmanifest check ./proyecto         # Directorio especifico
+```
+
+### `secmanifest fix`
+
+Arregla paquetes con versiones inseguras automaticamente. Consulta el registry de npm para encontrar versiones seguras.
+
+```bash
+secmanifest fix                      # Analiza y arregla todos los paquetes inseguros
+secmanifest fix chalk lodash         # Arregla paquetes especificos
+secmanifest fix --dry-run            # Muestra que haria sin ejecutar cambios
+```
+
+#### Como funciona el auto-fix
+
+1. Detecta paquetes con `"latest"`, versiones deprecated o con vulnerabilidades criticas
+2. Consulta el registry de npm para encontrar la ultima version segura
+3. Desinstala la version insegura
+4. Instala la version segura con `^version`
+5. Si falla, restaura la version original automaticamente
+
+## Escaners de Seguridad
+
+### 1. Malware y Typosquatting (`malware.ts`)
+
+Detecta paquetes maliciosos conocidos y suplantaciones de paquetes populares.
+
+- Lista de paquetes comprometidos conocidos (event-stream, faker.js, colors.js, etc.)
+- Deteccion de typosquatting con distancia de Levenshtein (ej: `exress` vs `express`)
+- Analisis de paquetes con nombres sospechosamente similares a paquetes populares
+
+### 2. Backdoors en Manifiestos (`backdoors.ts`)
+
+Analiza `package.json` en busca de ajustes peligrosos que atacantes pueden explotar.
+
+- Scripts peligrosos: `preinstall`, `postinstall`, `install`, `prepare`
+- Dependencias que apuntan a repositorios Git externos sin version fija
+- Version ranges abiertos (`*`, `>=0.0.0`)
+- Dependencias con `"latest"` (vector de ataque de cadena de suministro)
+- Hooks de ciclo de vida complejos con multiples comandos encadenados
+
+### 3. Drift en Lockfile (`lockfile-drift.ts`)
+
+Detecta paquetes instalados pero no declarados en `package.json`.
+
+- Soporte para `pnpm-lock.yaml`, `bun.lock` y `yarn.lock`
+- Detecta "paquetes fantasma" que pueden ser dependencias no intencionadas
+- Identifica divergencias entre lo declarado y lo instalado
+
+### 4. Secrets y Credenciales (`secrets.ts`)
+
+Escanea el codigo fuente y archivos de entorno en busca de secretos expuestos.
+
+- AWS Access Keys y Secret Keys
+- GitHub/GitLab tokens (PAT, Fine-grained)
+- Slack tokens y webhooks
+- Stripe API keys
+- Google API keys
+- Bearer tokens y JWTs
+- Connection strings (MongoDB, MySQL, PostgreSQL, Redis)
+- Archivos `.env` committeados
+- Verificacion de `.gitignore`
+
+### 5. Licencias Restringidas (`licenses.ts`)
+
+Detecta paquetes con licencias que pueden forzar divulgacion de codigo privado.
+
+- AGPL-3.0: Requiere liberar codigo incluso en SaaS
+- GPL-2.0/3.0: Copyleft fuerte que aplica a trabajos derivados
+- SSPL: Requiere liberar todo el stack de servicios
+- EUPL/OSL: Copyleft con implicaciones legales
+
+### 6. Metadata Sospechosa (`metadata.ts`)
+
+Analiza metadatos de paquetes instalados en busca de anomalias.
+
+- Paquete sin repositorio asociado
+- Paquete sin licencia declarada
+- Paquete con codigo nativo (gypfile)
+- Scripts que acceden a red durante instalacion
+
+### 7. Codigo Ofuscado (`obfuscation.ts`)
+
+Detecta patronies de ofuscacion comunes en malware.
+
+- Ejecucion de codigo codificado en Base64
+- `eval()` con concatenacion de strings
+- `String.fromCharCode` y secuencias hex/unicode
+- Compresion/descompresion en tiempo de ejecucion
+- `child_process` para ejecucion de comandos del sistema
+
+### 8. Version Node.js EOL (`node-version.ts`)
+
+Detecta si el proyecto requiere versiones de Node.js sin soporte.
+
+- Versiones End-of-Life (0.10 - 19)
+- Recomendacion de versiones soportadas
+
+### 9. Vulnerabilidades (Sonatype OSS Index) (`vulnerabilities.ts`)
+
+Consulta la base de datos de Sonatype para vulnerabilidades conocidas.
+
+- CVEs conocidas con severidad y CVSS score
+- Rate limiting automatico con retry
+- Soporte para batch de 128 paquetes por request
+
+### 10. Paquetes Desactualizados (`outdated.ts`)
+
+Detecta paquetes con versiones nuevas disponibles.
+
+- Paquetes con actualizaciones mayores (breaking changes)
+- Paquetes con actualizaciones menores (patches)
+
+## Ejemplo de Salida
+
+```
+  ╔══════════════════════════════════════╗
+  ║       SECMANIFEST - Security Audit     ║
+  ╚══════════════════════════════════════╝
+
+  Resumen del Proyecto
+  ─────────────────────────────────────
+  Proyecto:      mi-app
+  Directorio:    /home/user/mi-app
+  Gestor:        pnpm v9.0.0
+  Paquetes:      45
+  Hallazgos:     3
+  Tiempo:        8.21s
+
+  Desglose por Severidad:
+    [!!] Alto:      1
+    [!] Medio:    1
+    * Bajo:     1
+
+  Score de Riesgo:
+    [██████████████████░░░░░░░░░░░░] 59/100
+
+  ℹ PROYECTO CON RIESGOS MODERADOS - Revisión recomendada
+
+  Hallazgos Detallados:
+
+  ┌──────────────┬──────────────┬──────────────────────────────────┬────────────┐
+  │ Severidad    │ Categoria    │ Titulo                           │ Paquete    │
+  ├──────────────┼──────────────┼──────────────────────────────────┼────────────┤
+  │ [!!] high    │ Backdoor     │ Dependencia con "latest": axios  │ axios      │
+  │ [!] medium   │ Backdoor     │ Rango de version abierto: lodash │ lodash     │
+  │ * low        │ Malware      │ Paquete sin repositorio: foo     │ foo        │
+  └──────────────┴──────────────┴──────────────────────────────────┴────────────┘
+```
+
+## Arquitectura
+
+```
+secmanifest/
+├── src/
+│   ├── cli.ts                    # Entry point - Commander setup
+│   ├── commands/
+│   │   ├── audit.ts              # Comando principal de auditoria
+│   │   └── fix.ts                # Comando de auto-fix
+│   ├── core/
+│   │   ├── package-manager.ts    # Deteccion de gestores de paquetes
+│   │   ├── project-analyzer.ts   # Analisis de package.json
+│   │   ├── reporter.ts           # Reporte en terminal con colores
+│   │   └── fixer.ts              # Logica de desinstalar/reinstalar
+│   ├── scanners/
+│   │   ├── vulnerabilities.ts    # Sonatype OSS Index API
+│   │   ├── malware.ts            # Typosquatting + paquetes maliciosos
+│   │   ├── backdoors.ts          # Scripts peligrosos en package.json
+│   │   ├── lockfile-drift.ts     # Comparacion package.json vs lockfile
+│   │   ├── secrets.ts            # Credenciales expuestas
+│   │   ├── licenses.ts           # Licencias restrictivas
+│   │   ├── metadata.ts           # Metadatos sospechosos
+│   │   ├── obfuscation.ts        # Codigo ofuscado
+│   │   ├── outdated.ts           # Paquetes desactualizados
+│   │   └── node-version.ts       # Node.js EOL
+│   └── utils/
+│       ├── http.ts               # Cliente HTTP con rate limiting
+│       ├── registry.ts           # Consulta npm registry
+│       └── types.ts              # Tipos compartidos
+├── package.json
+├── tsconfig.json
+└── .gitignore
+```
+
+## Veto a npm
+
+secmanifest tiene un **veto absoluto a npm** como gestor de paquetes. Esto se debe a sus historial de vulnerabilidades en la ejecucion de scripts de dependencias. La herramienta detecta automaticamente el gestor de paquetes y sigue este orden de prioridad:
+
+1. **pnpm** (prioritario)
+2. **bun** (alternativa segura)
+3. **yarn** (ultimo recurso)
+4. **npm** → Bloqueado
+
+Si no se detecta ningun gestor seguro, la herramienta pregunta si desea continuar.
+
+## Como Ayudar a Mejorar el Proyecto
+
+### Funciones Pendientes
+
+- [ ] Integracion con Socket.dev API para deteccion de supply chain attacks
+- [ ] Analisis de dependencias transitivas (no solo directas)
+- [ ] Deteccion de paquetes con binarios sospechosos
+- [ ] Integracion con GitHub Actions para CI/CD
+- [ ] Modo watch para auditoria continua
+- [ ] Reporte en HTML exportable
+- [ ] Integracion con Slack/Discord para notificaciones
+- [ ] Cache local de resultados de Sonatype
+- [ ] Soporte para monorepos (workspaces)
+- [ ] Deteccion de dependencias duplicadas
+- [ ] Analisis de bundle size para detectar paquetes sospechosamente grandes
+- [ ] Verificacion de integridad con checksums
+
+### Contribuir
+
+1. Fork el repositorio
+2. Crea una branch para tu feature (`git checkout -b feature/nueva-funcion`)
+3. Haz commit de tus cambios (`git commit -m 'Add nueva funcion'`)
+4. Push a la branch (`git push origin feature/nueva-funcion`)
+5. Abre un Pull Request
+
+### Desarrollo
+
+```bash
+# Instalar dependencias
+bun install
+
+# Ejecutar en desarrollo
+bun run dev audit
+
+# Verificar tipos
+bun run typecheck
+
+# Compilar binario
+bun run build
+
+# Registrar globalmente
+bun link
+```
+
+## Licencia
+
+MIT

package/package.json

@@ -0,0 +1,54 @@
+{
+  "name": "secmanifest",
+  "version": "1.0.0",
+  "description": "Deep security auditing tool for JavaScript/TypeScript projects. Detects vulnerabilities, malware, backdoors, secrets, and compromised packages.",
+  "type": "module",
+  "main": "src/cli.ts",
+  "bin": {
+    "secmanifest": "./src/cli.ts"
+  },
+  "scripts": {
+    "dev": "bun run src/cli.ts",
+    "build": "bun build src/cli.ts --compile --outfile secmanifest",
+    "typecheck": "bunx tsc --noEmit"
+  },
+  "keywords": [
+    "security",
+    "audit",
+    "vulnerabilities",
+    "malware",
+    "supply-chain",
+    "npm",
+    "javascript",
+    "typescript",
+    "cli",
+    "scanner",
+    "backdoor",
+    "secrets"
+  ],
+  "author": "",
+  "license": "MIT",
+  "files": [
+    "src/**/*",
+    "README.md"
+  ],
+  "repository": {
+    "type": "git",
+    "url": ""
+  },
+  "dependencies": {
+    "commander": "^14.0.3",
+    "@clack/prompts": "^1.5.0",
+    "chalk": "^5.4.1",
+    "cli-table3": "^0.6.5"
+  },
+  "devDependencies": {
+    "@types/bun": "latest"
+  },
+  "peerDependencies": {
+    "typescript": "^5"
+  },
+  "engines": {
+    "node": ">=18"
+  }
+}

package/src/cli.ts

@@ -0,0 +1,138 @@
+#!/usr/bin/env bun
+
+import { Command } from "commander";
+import { initI18n, setLocale, t } from "./i18n/index.js";
+import { runAudit } from "./commands/audit.js";
+import { runFix } from "./commands/fix.js";
+import { runWatch } from "./commands/watch.js";
+import { saveConfig } from "./core/notify.js";
+import { cacheClear } from "./utils/cache.js";
+
+const program = new Command();
+
+initI18n();
+
+program
+  .name("secmanifest")
+  .description(t("cli.description"))
+  .version("1.0.0");
+
+program
+  .command("audit")
+  .description("Deep security audit of the project")
+  .argument("[path]", "Directory to audit", ".")
+  .option("--json", "JSON output")
+  .option("--verbose", "Show detailed errors during scan")
+  .option("--quick", "Quick scan (no external APIs)")
+  .option("--auto-fix", "Auto-fix insecure packages")
+  .option("--html [path]", "Generate exportable HTML report")
+  .option("--notify", "Send notifications to Slack/Discord")
+  .option("--lang <locale>", "Language (en/es)", "en")
+  .option("--skip-malware", "Skip malware/typosquatting scan")
+  .option("--skip-secrets", "Skip secrets/credentials scan")
+  .option("--skip-licenses", "Skip license scan")
+  .option("--skip-outdated", "Skip outdated packages scan")
+  .option("--skip-metadata", "Skip metadata scan")
+  .option("--skip-obfuscation", "Skip obfuscation scan")
+  .option("--skip-node-version", "Skip Node.js EOL check")
+  .option("--skip-socket", "Skip Socket.dev scan")
+  .option("--skip-transitive", "Skip transitive dependencies scan")
+  .option("--skip-binaries", "Skip suspicious binaries scan")
+  .option("--skip-duplicates", "Skip duplicate dependencies scan")
+  .option("--skip-bundle-size", "Skip bundle size analysis")
+  .option("--skip-integrity", "Skip integrity check")
+  .action(async (path, options) => {
+    setLocale(options.lang);
+    try {
+      await runAudit(path, options);
+    } catch (error) {
+      console.error(
+        `${t("error.fatal")} ${error instanceof Error ? error.message : String(error)}`,
+      );
+      process.exit(1);
+    }
+  });
+
+program
+  .command("check")
+  .description("Quick security scan (no external APIs)")
+  .argument("[path]", "Directory to audit", ".")
+  .option("--json", "JSON output")
+  .option("--verbose", "Show detailed errors")
+  .option("--lang <locale>", "Language (en/es)", "en")
+  .action(async (path, options) => {
+    setLocale(options.lang);
+    try {
+      await runAudit(path, { ...options, quick: true });
+    } catch (error) {
+      console.error(
+        `${t("error.fatal")} ${error instanceof Error ? error.message : String(error)}`,
+      );
+      process.exit(1);
+    }
+  });
+
+program
+  .command("fix")
+  .description("Fix packages with insecure versions (latest, deprecated)")
+  .argument("[packages...]", "Packages to fix (if omitted, analyzes all)")
+  .option("--dry-run", "Show what would be done without executing")
+  .option("--lang <locale>", "Language (en/es)", "en")
+  .action(async (packages, options) => {
+    setLocale(options.lang);
+    try {
+      await runFix(packages, options);
+    } catch (error) {
+      console.error(
+        `${t("error.fatal")} ${error instanceof Error ? error.message : String(error)}`,
+      );
+      process.exit(1);
+    }
+  });
+
+program
+  .command("watch")
+  .description("Continuous security audit every N seconds")
+  .argument("[path]", "Directory to audit", ".")
+  .option("-i, --interval <seconds>", "Interval in seconds", "300")
+  .option("--quick", "Quick scan")
+  .option("--lang <locale>", "Language (en/es)", "en")
+  .action(async (path, options) => {
+    setLocale(options.lang);
+    try {
+      await runWatch(path, {
+        interval: parseInt(options.interval, 10),
+        quick: options.quick,
+      });
+    } catch (error) {
+      console.error(
+        `${t("error.fatal")} ${error instanceof Error ? error.message : String(error)}`,
+      );
+      process.exit(1);
+    }
+  });
+
+program
+  .command("config")
+  .description("Configure secmanifest")
+  .option("--slack-webhook <url>", "Configure Slack webhook")
+  .option("--discord-webhook <url>", "Configure Discord webhook")
+  .option("--clear-cache", "Clear results cache")
+  .option("--lang <locale>", "Language (en/es)", "en")
+  .action(async (options) => {
+    setLocale(options.lang);
+    if (options.slackWebhook || options.discordWebhook) {
+      const config: Record<string, string> = {};
+      if (options.slackWebhook) config.slackWebhook = options.slackWebhook;
+      if (options.discordWebhook) config.discordWebhook = options.discordWebhook;
+      await saveConfig(config);
+      console.log(t("config.saved"));
+    }
+
+    if (options.clearCache) {
+      await cacheClear();
+      console.log(t("config.cache_cleared"));
+    }
+  });
+
+program.parse();