クイックスタート
Takumi Guard は、悪意あるパッケージが開発環境に到達する前にブロックします。npm と PyPI の透過プロキシとして動作し、コード変更は不要です。レジストリの設定を一度行うだけで利用開始できます。
セットアップレベルの選択
Takumi Guard には3つのアクセスレベルがあります。用途に応じてお選びください。
| レベル | 利用可能な機能 | 必要なもの |
|---|---|---|
| 匿名 | 悪意あるパッケージのブロック | レジストリURLの設定のみ |
| メール認証 | ブロック + ダウンロード追跡 + 侵害通知 | メール登録(無料) |
| 組織 | 上記すべて + チーム全体の可視性 | Shisho Cloud アカウント + GitHub Actions |
個人の開発者にはメール認証アクセスをお勧めします。1分以内で完了し、侵害通知が無料で利用可能になります。
1つのトークンで全エコシステムに対応
メールアドレスを登録すると、1つの API キー(例: tg_anon_abc123…)が発行されます。このキーは Takumi Guard の全エコシステムで利用できます。
- npm — npm、pnpm、yarn、bun
- PyPI — pip、uv、poetry
登録は一度だけで十分です。同じトークンで必要なパッケージマネージャーをいくつでも設定できます。すでに npm をセットアップ済みで PyPI を追加したい場合(またはその逆)、再登録は不要です。同じキーで追加のパッケージマネージャーを設定するだけです。
登録をスキップして、PyPI セットアップガイドに進んでください。お持ちの API キーをそのまま利用できます。既存のキーの確認方法は、トークンの確認方法を参照してください。
エコシステム別セットアップガイド
保護したいエコシステムのガイドに従ってください。
npm
npm、pnpm、yarn、bun に対応しています。ローカル開発環境の設定、.npmrc の構成、GitHub Actions でのセットアップを含みます。
PyPI
pip、uv、poetry に対応しています。ローカル開発環境の設定、環境変数の構成、GitHub Actions でのセットアップを含みます。
クイックリファレンス
すでにトークンをお持ちの方向けの、各パッケージマネージャーのワンライナーコマンドです。
npm エコシステム
# npm / pnpm
npm config set registry https://npm.flatt.tech/
npm config set //npm.flatt.tech/:_authToken tg_anon_YOUR_TOKEN
# yarn (v2+) — .yarnrc.yml に追加
npmRegistryServer: "https://npm.flatt.tech/"
npmAuthToken: "tg_anon_YOUR_TOKEN"
# bun — bunfig.toml に追加
[install]
registry = { url = "https://npm.flatt.tech/", token = "tg_anon_YOUR_TOKEN" }
PyPI エコシステム
# pip(ディスクに永続化)
pip config set global.index-url https://token:tg_anon_YOUR_TOKEN@pypi.flatt.tech/simple/
# uv — シェルプロファイルに追加(uv は pip config を参照しません)
export UV_INDEX_URL=https://token:tg_anon_YOUR_TOKEN@pypi.flatt.tech/simple/
# poetry
poetry source add --priority=primary takumi-guard https://pypi.flatt.tech/simple/
poetry config http-basic.takumi-guard token tg_anon_YOUR_TOKEN
セットアップの確認
パッケージマネージャーの設定後、既知のブロック対象パッケージをインストールして Takumi Guard が正常に動作しているか確認できます。
npm install @panda-guard/test-malicious
Takumi Guard が正しく設定されていれば、403 Forbidden エラーでインストールが失敗します。
次のステップ
- 認証用トークンの管理 — APIキーのローテーション、復元、失効
- 侵害通知 — ダウンロードしたパッケージに問題が検出された場合の通知
- パッケージブロック — Takumi Guard のブロックリストの仕組み