SentinelloSentinello

Ein Frühwarnsystem für die Abhängigkeiten, die Sie nicht mehr im Blick haben.

Im KI-Zeitalter veröffentlichen Sie mehr Node.js-Projekte, als Sie pflegen können. Sentinello überwacht jedes einzelne und deckt bekannte CVEs in deren npm-Abhängigkeiten auf — damit ein vergessenes Projekt nie zum Vorfall wird.

Mit einem einzigen Befehl starten:

docker run -d \
  --name sentinello \
  -p 3870:3000 \
  -v sentinello-data:/app/data \
  -v sentinello-nvm:/root/.nvm \
  -v ~/Developer:/roots/personal:ro \
  ghcr.io/walkofcode/sentinello:latest

Läuft auf linux/amd64 und arm64

Kein Konto. Kein SaaS. Keine Telemetrie. Ein Docker-Image und eine SQLite-Datei — Ihr Code und Ihre Befunde verlassen niemals Ihre Maschine.

Funktionen

Alles in einem selbstgehosteten Portal — keine externen Dienste, keine Daten, die Ihr Netzwerk verlassen.

Eine Triage-Warteschlange

Sehen und triagieren Sie CVEs Ihres gesamten Portfolios an einer Stelle — statt npm audit verstreut über ein Dutzend Checkouts.

Nach Projekt oder Bibliothek durchsuchen

Tauchen Sie in ein beliebiges Repository ein, um dessen Befunde, Fix-Versionen und Verlauf zu sehen — oder wechseln Sie zu einem verwundbaren Paket, um jedes betroffene Projekt zu sehen und es überall auf einmal stummzuschalten.

Kontinuierliches Scannen

Ein Hintergrundprozess scannt nach einem Zeitplan erneut, sodass neue Hinweise erscheinen, ohne dass Sie ans Nachsehen denken müssen.

Mehrere Quellen

Über npm audit hinaus: Abgleich mit der OSV-Datenbank für breitere CVE-Abdeckung und Erkennung bekannter bösartiger Pakete.

Benachrichtigungen & Webhooks

Erhalten Sie Fehler- und Befund-Benachrichtigungen über Slack, Telegram oder einen einfachen Webhook — pro Root oder Projekt eingegrenzt, in der von Ihnen gewählten Sprache. JSON- oder Klartext-Payloads für einen Auto-Fix-Agenten.

MCP-Server

Verbinde Claude Desktop, Cursor und andere MCP-Clients, um Funde, Projekte und Bibliotheken abzufragen und Scans auszulösen — ohne den Chat zu verlassen.

Advisory-Export

Exportieren Sie Befunde eines Projekts oder einer Bibliothek als Markdown, mit einem anpassbaren Remediation-Prompt für Ihr Team oder ein LLM.

Ein Image, eine Datei

Ein Docker-Image und eine SQLite-Datei. Kein Datenbankserver, keine Nachrichten-Warteschlange, keine Cloud-Abhängigkeit.

Automatisch registrierte Roots

Alles, was unter /roots eingebunden ist, wird beim Start registriert und gescannt — der Verzeichnisname wird zu seiner Bezeichnung.

Node pro Projekt

Respektiert die .nvmrc jedes Projekts und installiert und cacht die festgelegte Node-Version genau einmal.

10 Sprachen

Die Portal-Oberfläche, die Scan-Begründungscodes und die Status sind in 10 Sprachen lokalisiert.

Screenshots

Sehen Sie es in Aktion — das Portal beim Scannen einiger Demo-Projekte. Klicken Sie auf eine Aufnahme, um sie zu vergrößern.

Im Vergleich

Sentinello ist weder ein schwereres Dependency-Track noch ein günstigeres Snyk. Es besetzt eine andere Nische: den Long Tail an Node-Projekten, die niemand an eine Pipeline angebunden hat.

SentinelloDependency-TrackSnykDependabot
Ohne Konfiguration — auf einen Ordner zeigen~~
Kein SBOM- / CI-Schritt nötig
Scannt echte aufgelöste Lockfiles~
Erkennung bösartiger Pakete
Selbst gehostet, kein SaaS
Ein Image + SQLite
KI-nativ (MCP + Export)~
Mehrsprachig (Python, Go, …)Geplant
Enterprise-Policy / VEX~~

Dependency-Track sieht nur die Projekte, die jemand mit einer SBOM-Pipeline instrumentiert hat. Sentinello findet die vergessenen. Sie sind stärker bei der Enterprise-Policy, und mehrsprachige Abdeckung steht auf Sentinellos Roadmap — wenn Sie sie bereits auf einer ausgereiften Pipeline betreiben, behalten Sie sie. Sentinello ist für den Rest Ihres Portfolios, den niemand beobachtet.

Warum wir das gebaut haben

Im KI-Zeitalter veröffentlichen Sie mehr, als Sie pflegen können.

Eine Solo-Entwicklerin oder ein Solo-Entwickler startet, liefert und lässt heute ein Dutzend Projekte pro Jahr hinter sich — die Marketing-Seite, das Kunden-Dashboard, das Nebenprojekt, das still in die Produktion ging. Sie alle sicher zu halten hieß früher, sich per SSH in jeden Checkout einzuloggen und npm audit von Hand laufen zu lassen, oder von einem Next.js-CVE erst aus einer Schlagzeile zu erfahren, Tage nachdem es draußen war. Über ein Dutzend Repos zieht das niemand durch — also passiert es gar nicht.

Eine einzige vergessene Abhängigkeit mit einer kritischen Remote-Code-Execution-Lücke genügt. Die simpelste Seite, die Sie nicht mehr im Blick hatten, wird zum Einfallstor.

„Warum nicht einfach Snyk oder Dependabot nehmen?“ Die leben in der CI-Pipeline, die Sie verdrahtet haben — und der Long Tail hat nie eine bekommen. Sentinello ist das Frühwarnsystem für alles andere: Richten Sie es auf einen Ordner, und es überwacht jedes Projekt, das Sie vergessen haben, und bringt jedes neue CVE in einer einzigen Warteschlange ans Licht, bevor es zum Vorfall wird.

So funktioniert es

Drei Schritte. Keine Agenten, die Sie in Ihren Projekten installieren müssen, keine Konten, die Sie anlegen müssen.

Richten Sie es auf Ihren Code

Binden Sie Ihre Repositories unter /roots ein oder fügen Sie sie unter Einstellungen → Roots hinzu. Jedes Verzeichnis wird beim Start automatisch registriert und erkannt.

Es scannt kontinuierlich

Ein Hintergrundprozess gleicht Ihre Abhängigkeiten nach einem Zeitplan mit bekannten CVEs ab und installiert bei Bedarf die Node-Version, die jedes Projekt festlegt.

Triage in einer Warteschlange

Jeder Befund aus jedem Projekt landet in einer einzigen Warteschlange, die Sie nach Schweregrad filtern können — mit optionalen Benachrichtigungen an Slack, Telegram oder einen Webhook.

Für wen es ist

Sentinello ist für alle, die mehr in Produktion haben, als sie im Blick behalten können — die Solo-Entwicklerin oder der Solo-Entwickler, das kleine Team, die Agentur, die Kundenprojekte jongliert.

  • Sie veröffentlichen Nebenprojekte und Kundenseiten, die noch lange nach dem Launch sicher bleiben müssen.
  • Sie wollen einen portfolioweiten Überblick, ohne CI in jedes Repository zu verdrahten.
  • Sie hosten lieber selbst, als Ihr Code-Inventar einem SaaS zu übergeben.

Wenn Sie eine große Organisation mit Snyk oder Dependabot sind, die bereits in eine ausgereifte Pipeline integriert sind, behalten Sie sie — Sentinello versucht nicht, Enterprise-SCA zu ersetzen. Es ist für den Rest Ihres Portfolios da, den niemand im Blick hat. Es ist Open Source und MIT-lizenziert, sodass Sie genau nachlesen können, was es tut.

Versionshinweise

Sentinello erscheint regelmäßig — das hat jede Version gebracht.

Einfachere MCP-Einrichtung — ohne Umgebungsvariablen

v2.3.0 · 09.06.2026
  • MCP wird jetzt vollständig unter Einstellungen → MCP eingerichtet: Token generieren, um den Endpunkt /api/mcp einzuschalten, löschen, um ihn auszuschalten — die Umgebungsvariablen SENTINELLO_MCP_ENABLED und SENTINELLO_MCP_API_TOKEN entfallen (ein vorhandenes Umgebungs-Token wird beim Upgrade einmalig importiert)
  • Fertige Verbindungs-Snippets zum Einfügen für Claude Code, Codex, Cursor und Claude Desktop, bereits mit deinem Token ausgefüllt
  • Wenn SENTINELLO_PORTAL_BASE_URL in der Umgebung gesetzt ist, wird sie unter Einstellungen → Erweitert schreibgeschützt angezeigt, da sie maßgeblich bleibt und bei jedem Start erneut angewendet wird

Weniger Fehlalarme und selbstbereinigende Funde

v2.2.0 · 09.06.2026
  • Malware-Hinweise stimmen jetzt mit der genau betroffenen Version überein — eine saubere oder bereits behobene Version eines einst kompromittierten Pakets wird nicht mehr markiert
  • Doppelte Funde lösen sich jetzt beim nächsten Scan von selbst auf, sodass alte oder verwaiste Einträge automatisch verschwinden
  • Produktions- und Entwicklungs-Kennzeichnungen werden jetzt über alle Quellen (npm und OSV) auf eine einheitliche Weise berechnet

Ein aufgeräumter Projekt-Header und einheitliche Filter

v2.1.0 · 06.06.2026
  • Verschlankter Projekt-Header — Umbenennen direkt neben dem Titel, Stummschalten und Tags als Icon-Buttons
  • Funde nach Quelle filtern (npm / OSV) über ein neues Dropdown neben dem Abhängigkeitstyp-Filter
  • Einheitliche Dropdowns in der gesamten App, mit Tippsuche für lange Listen wie Zeitzonen

Klarere Upgrade-Hinweise

v2.0.1 · 04.06.2026
  • Erweiterte Upgrade-Schritte für die Breaking Changes von 2.0
  • Die README weist auf die nur-localhost-Portbindung hin

Multi-Quellen-Scan und eine gehärtete, standardmäßig sichere Installation

v2.0.0 · 04.06.2026
  • OSV als optionale zweite Quelle (Einstellungen → Quellen, standardmäßig aus) mit Erkennung schädlicher Pakete, abgeglichen mit der öffentlichen OSV-Datenbank in einem lokalen Cache
  • Funde werden jetzt quellenübergreifend zusammengeführt — eine Zeile pro Schwachstelle, jede Quelle markiert, der beste verfügbare Fix und die Vereinigung der Abhängigkeitspfade, mit Quellenfilter und einem Abhängigkeitspfad-Popover
  • Sicherheitshärtung: der MCP-Endpunkt ist standardmäßig aus und erfordert ein Token, die Webhook-Zustellung ist gegen SSRF abgesichert, ein optionales Portal-Login, und der Container läuft als unprivilegierter Benutzer
  • Einstellungen sind jetzt ein Bereich der obersten Ebene mit Seitenleiste und einer Profilseite

MCP-Integration & Neuigkeiten

v1.4.0 · 29.05.2026
  • MCP-Server unter /api/mcp für Claude Desktop, Cursor und andere Clients
  • Neuer Bereich Einstellungen → MCP mit Server-URL und Token-Verwaltung
  • Neuigkeiten-Symbol und ein Verlauf der Versionshinweise

Korrektur der Version in der Fußzeile

v1.3.1 · 28.05.2026
  • Die laufende Version wird in der Fußzeile sauber dargestellt

Verbesserungen bei Benachrichtigungen

v1.3.0 · 28.05.2026
  • Benachrichtigungen nach Umgebung filtern
  • Einfacheres Formular zum Bearbeiten von Zielen
  • Ein vorhandenes Benachrichtigungsziel duplizieren

Seiten für Projekte und Bibliotheken

v1.2.0 · 24.05.2026
  • Die Startansicht ist in eigene Seiten für Projekte und Bibliotheken aufgeteilt

Live-Neuladen des Zeitplans

v1.1.2 · 24.05.2026
  • Der Worker lädt den Scan-Zeitplan neu, sobald du Änderungen im Portal speicherst

Sichereres Löschen & ein klareres Update-Banner

v1.1.0 · 23.05.2026
  • Bestätigung vor dem Löschen von Roots und Benachrichtigungszielen
  • Update-Hinweis als schließbares Banner oben
  • Der Worker entfernt veraltete Roots, wenn ihr Host-Mount verschwindet

Korrekturen der Scanner-Genauigkeit

v1.0.1 · 23.05.2026
  • Verwirft Funde, deren installierte Version nicht wirklich im verwundbaren Bereich liegt
  • Ermöglicht das Löschen eines Benachrichtigungsziels mit Versandverlauf

Erste Open-Source-Version

v1.0.0 · 23.05.2026
  • Die erste öffentliche Veröffentlichung von Sentinello

Roadmap

Heute überwacht Sentinello Ihre Node.js-Abhängigkeiten. Hier geht es hin — und das können Sie anfragen.

Intelligentere Priorisierung

Geplant

Funde nach Ausnutzbarkeit ordnen und danach, ob der verwundbare Code tatsächlich erreichbar ist — zuerst das Wichtige triagieren.

Mehr Ökosysteme

Geplant

Scannen über Node hinaus auf Python, Go und Rust ausweiten — mit derselben dateisystemnativen Erkennung.

Mehr Integrationen

Geplant

Mehr Benachrichtigungskanäle und Wege, Sentinello an die Tools anzubinden, die Ihr Team bereits nutzt.

Statische Analyse (SAST)

Geplant

Erkennen Sie riskante Muster in Ihrem eigenen Code, nicht nur bekannte CVEs in Ihren Abhängigkeiten.

Secret- & Lizenz-Scan

Geplant

Markieren Sie committete Secrets und Lizenzprobleme im selben Portfolio, in derselben Warteschlange.

Integration oder Quelle anfragen

Sagen Sie uns, was Sie als Nächstes integrieren oder scannen würden — öffnen Sie ein Issue auf GitHub und gestalten Sie die Roadmap mit.