Threadplane:Angular 代理 UI 框架獲供應鏈信任 A 級評分
HVTracker 是一個獨立的 AI 代理軟件信任追蹤器,Threadplane 獲得了 82.8/100 的 A 級評分,在代理框架類別中排名第 7 位(共 75 個),且是列表中唯一的 Angular 框架。評分基於公開信號,如 GitHub API、npm 和 PyPI 註冊表以及 OpenSSF Scorecard CLI,不依賴於自我報告。文章強調了供應鏈完整性和溯源的重要性,尤其是在代理框架中,因為代理框架的漏洞影響範圍更大。Threadplane 的信任信號包括:OSSF Scorecard 7.7/10、MIT 許可證、82% 的提交已加密簽名、可驗證的出處和積極維護。該框架主要採用 MIT 開源許可,只有 @threadplane/chat 庫使用商業許可。
每個代理框架都要求你信任它。但我更希望你衡量它。
HVTracker 是一個針對 AI 代理軟件的獨立信任追蹤器。它剛剛給 Threadplane 打出了 82.8/100 的分數——A 級。
在代理框架類別中,這是 75 個框架中的第 7 名。而且它是列表中唯一——實際上是唯一——的 Angular 代理框架。
我沒有填寫問卷或付費購買徽章。HVTracker 僅從公開信號評分:GitHub API、npm 和 PyPI 註冊表以及 OpenSSF Scorecard CLI,每天刷新。這個評分是他們的分析對我們的評價,而不是我們對自己的評價。
對我來説,這正是重點所在。你對自己的信任聲明價值不大。
還有誰在列表中?
這是我總是回來看的部分。讓我們看看我們與誰為伍。
排名框架信任度星數 1 Haystack 95.5 25.7k 2 Vercel AI SDK 95.1 25.1k 3 LangGraph 93.0 35.6k 6 OpenAI Agents SDK 85.8 27.4k 7 Threadplane 82.8 99 8 CrewAI 80.6 54.3k 11 LangChain 76.6 140.1k
看看星數列。
Threadplane 在信任度上排名高於 CrewAI、AutoGen 和 LangChain——儘管其在 GitHub 上只有 99 顆星,而它們有數萬顆星。
這不是故障。HVTrust 的權重偏向於供應鏈完整性和出處,而非流行度。一個包可能每週被下載數百萬次,但安全信號仍然薄弱。一個較小的包可能擁有所有信號。評分獎勵的是第二種,而這正是此類追蹤器存在的全部原因。
我也會誠實地説明我們的弱點。我們最低的信號是採用度。擁有 99 顆星,這是我們的資料中最需要增長的部分,也是上述大項目真正領先的地方。我不會粉飾這一點。
A 級到底意味着什麼?
HVTracker 對自己的聲明非常謹慎,我也想如此。就在列表上,他們印着這句話:
並非安全認可。HVTracker 描述的是公開信號顯示的內容,而非項目對你的用例是否安全。在生產環境使用前,請自行進行安全審查。
這個警告正是評分具有價值的原因。
它不是一張寫着“信任我們”的貼紙。它是一個跨越五個維度的度量:
安全/完整性——OSSF Scorecard、出處、簽名。
身份/出處——發佈包與構建它的源代碼之間的可驗證鏈接。這是我們最強的信號。
透明度——聲明瞭 OSI 批准的許可證和公開檢查。
維護——提交的時效性和節奏。
採用——星數和下載量。
A 級只是表示分數在頂部區間(A 是 80 及以上)。它並不意味着有人為你的威脅模型進行了審計。它意味着公開證據是強有力的,你可以親自驗證每一部分。
為什麼這對代理框架更重要
大多數你安裝的軟件在一個地方做一件事。代理框架則不同。
它運行模型。它執行工具調用。它訪問憑據並代表你的用户行動,通常對真實系統擁有真實權限。
因此,代理框架下被攻破的依賴項的爆炸半徑比你棧中幾乎任何東西都大。這就是為什麼“這個東西的供應鏈是否有序”是一個真正的問題,而不僅僅是一個複選框。
這也是工具旨在彌合的差距。OpenSSF Scorecard——HVTrust 很大一部分背後的引擎——檢查攻擊者實際攻擊的鏈條部分:源代碼、構建、依賴項、簽名和維護。正如 OpenSSF 所説,許多開源項目由資源有限的小團隊運營,這正是供應鏈攻擊尋找的軟目標。而 Sonatype 的一項分析發現,項目的 Scorecard 分數是預測其是否攜帶已知漏洞的最佳指標之一。
根據我的經驗,那就是在你安裝任何代理將運行的東西之前值得問的問題:你將多少應用程序交給了你未編寫的代碼,並且你能證明它的來源嗎?
評分背後的工作
評分是輸出。這裏是輸入——贏得評分所需的無聊、不光彩的衞生習慣。
OSSF Scorecard 7.7/10——分支保護、簽名發佈、依賴審查、代碼審查、持續運行。
MIT 許可證——一個聲明瞭、OSI 批准的、寬鬆的許可證。關於你能用它做什麼沒有歧義。
82% 的近期提交已加密簽名——這樣你可以確認代碼來自提交聲稱的人。
可驗證的出處——從 npm 包追溯到產生它的構建的可追溯線路。
積極維護——評分時倉庫在過去一天內有推送。
這些都不奇特。完成所有這些並保持它們,才能將項目從“可能沒問題”提升到“你可以檢查”。
默認開放
Threadplane 是 MIT 許可的開源項目。該框架——LangGraph 和 AG-UI 適配器、生成式 UI 運行時、協議類型——是免費的,並且保持免費。
一個庫 @threadplane/chat 帶有商業許可。這是資助保持其他所有內容開放和維護的單一組件。
對我來説,這是可持續開源的誠實版本。上面的信任信號不是封閉產品上的營銷油漆。它們是我對整個代碼庫的要求,而幾乎整個代碼庫都是 MIT 許可的,就放在那裏供你閲讀。
不要相信我的話
完整的細分——每個維度、Scorecard 檢查以及原始 JSON——都在 Threadplane 的 HVTracker 列表上公開。相信他們的話,然後去驗證。
結論
信任評分是起點,而非終點。評估框架的真正方法是用它構建一些東西。
所以如果你好奇:閲讀列表和代理框架排行榜,瀏覽 GitHub 上的源代碼(全部——幾乎全部開放),並通過快速入門發佈你的第一個流式代理 UI。
我們會保持信號新鮮,保持框架開放,並繼續努力改善我還不引以為傲的那個數字。其餘的,你可以驗證。💚