Ein Frühwarnsystem für die Abhängigkeiten, die Sie nicht mehr im Blick haben.
Im KI-Zeitalter veröffentlichen Sie mehr Node.js-Projekte, als Sie pflegen können. Sentinello überwacht jedes einzelne und deckt bekannte CVEs in deren npm-Abhängigkeiten auf — damit ein vergessenes Projekt nie zum Vorfall wird.
Mit einem einzigen Befehl starten:
docker run -d \
--name sentinello \
-p 3870:3000 \
-v sentinello-data:/app/data \
-v sentinello-nvm:/root/.nvm \
-v ~/Developer:/roots/personal:ro \
ghcr.io/walkofcode/sentinello:latestLäuft auf linux/amd64 und arm64
Kein Konto. Kein SaaS. Keine Telemetrie. Ein Docker-Image und eine SQLite-Datei — Ihr Code und Ihre Befunde verlassen niemals Ihre Maschine.
Funktionen
Alles in einem selbstgehosteten Portal — keine externen Dienste, keine Daten, die Ihr Netzwerk verlassen.
Eine Triage-Warteschlange
Sehen und triagieren Sie CVEs Ihres gesamten Portfolios an einer Stelle — statt npm audit verstreut über ein Dutzend Checkouts.
Nach Projekt oder Bibliothek durchsuchen
Tauchen Sie in ein beliebiges Repository ein, um dessen Befunde, Fix-Versionen und Verlauf zu sehen — oder wechseln Sie zu einem verwundbaren Paket, um jedes betroffene Projekt zu sehen und es überall auf einmal stummzuschalten.
Kontinuierliches Scannen
Ein Hintergrundprozess scannt nach einem Zeitplan erneut, sodass neue Hinweise erscheinen, ohne dass Sie ans Nachsehen denken müssen.
Mehrere Quellen
Über npm audit hinaus: Abgleich mit der OSV-Datenbank für breitere CVE-Abdeckung und Erkennung bekannter bösartiger Pakete.
Benachrichtigungen & Webhooks
Erhalten Sie Fehler- und Befund-Benachrichtigungen über Slack, Telegram oder einen einfachen Webhook — pro Root oder Projekt eingegrenzt, in der von Ihnen gewählten Sprache. JSON- oder Klartext-Payloads für einen Auto-Fix-Agenten.
MCP-Server
Verbinde Claude Desktop, Cursor und andere MCP-Clients, um Funde, Projekte und Bibliotheken abzufragen und Scans auszulösen — ohne den Chat zu verlassen.
Advisory-Export
Exportieren Sie Befunde eines Projekts oder einer Bibliothek als Markdown, mit einem anpassbaren Remediation-Prompt für Ihr Team oder ein LLM.
Ein Image, eine Datei
Ein Docker-Image und eine SQLite-Datei. Kein Datenbankserver, keine Nachrichten-Warteschlange, keine Cloud-Abhängigkeit.
Automatisch registrierte Roots
Alles, was unter /roots eingebunden ist, wird beim Start registriert und gescannt — der Verzeichnisname wird zu seiner Bezeichnung.
Node pro Projekt
Respektiert die .nvmrc jedes Projekts und installiert und cacht die festgelegte Node-Version genau einmal.
10 Sprachen
Die Portal-Oberfläche, die Scan-Begründungscodes und die Status sind in 10 Sprachen lokalisiert.
Screenshots
Sehen Sie es in Aktion — das Portal beim Scannen einiger Demo-Projekte. Klicken Sie auf eine Aufnahme, um sie zu vergrößern.
Im Vergleich
Sentinello ist weder ein schwereres Dependency-Track noch ein günstigeres Snyk. Es besetzt eine andere Nische: den Long Tail an Node-Projekten, die niemand an eine Pipeline angebunden hat.
| Sentinello | Dependency-Track | Snyk | Dependabot | |
|---|---|---|---|---|
| Ohne Konfiguration — auf einen Ordner zeigen | ~ | ~ | ||
| Kein SBOM- / CI-Schritt nötig | ||||
| Scannt echte aufgelöste Lockfiles | ~ | |||
| Erkennung bösartiger Pakete | ||||
| Selbst gehostet, kein SaaS | ||||
| Ein Image + SQLite | ||||
| KI-nativ (MCP + Export) | ~ | |||
| Mehrsprachig (Python, Go, …) | Geplant | |||
| Enterprise-Policy / VEX | ~ | ~ |
Dependency-Track sieht nur die Projekte, die jemand mit einer SBOM-Pipeline instrumentiert hat. Sentinello findet die vergessenen. Sie sind stärker bei der Enterprise-Policy, und mehrsprachige Abdeckung steht auf Sentinellos Roadmap — wenn Sie sie bereits auf einer ausgereiften Pipeline betreiben, behalten Sie sie. Sentinello ist für den Rest Ihres Portfolios, den niemand beobachtet.
Warum wir das gebaut haben
Im KI-Zeitalter veröffentlichen Sie mehr, als Sie pflegen können.
Eine Solo-Entwicklerin oder ein Solo-Entwickler startet, liefert und lässt heute ein Dutzend Projekte pro Jahr hinter sich — die Marketing-Seite, das Kunden-Dashboard, das Nebenprojekt, das still in die Produktion ging. Sie alle sicher zu halten hieß früher, sich per SSH in jeden Checkout einzuloggen und npm audit von Hand laufen zu lassen, oder von einem Next.js-CVE erst aus einer Schlagzeile zu erfahren, Tage nachdem es draußen war. Über ein Dutzend Repos zieht das niemand durch — also passiert es gar nicht.
Eine einzige vergessene Abhängigkeit mit einer kritischen Remote-Code-Execution-Lücke genügt. Die simpelste Seite, die Sie nicht mehr im Blick hatten, wird zum Einfallstor.
„Warum nicht einfach Snyk oder Dependabot nehmen?“ Die leben in der CI-Pipeline, die Sie verdrahtet haben — und der Long Tail hat nie eine bekommen. Sentinello ist das Frühwarnsystem für alles andere: Richten Sie es auf einen Ordner, und es überwacht jedes Projekt, das Sie vergessen haben, und bringt jedes neue CVE in einer einzigen Warteschlange ans Licht, bevor es zum Vorfall wird.
So funktioniert es
Drei Schritte. Keine Agenten, die Sie in Ihren Projekten installieren müssen, keine Konten, die Sie anlegen müssen.
Richten Sie es auf Ihren Code
Binden Sie Ihre Repositories unter /roots ein oder fügen Sie sie unter Einstellungen → Roots hinzu. Jedes Verzeichnis wird beim Start automatisch registriert und erkannt.
Es scannt kontinuierlich
Ein Hintergrundprozess gleicht Ihre Abhängigkeiten nach einem Zeitplan mit bekannten CVEs ab und installiert bei Bedarf die Node-Version, die jedes Projekt festlegt.
Triage in einer Warteschlange
Jeder Befund aus jedem Projekt landet in einer einzigen Warteschlange, die Sie nach Schweregrad filtern können — mit optionalen Benachrichtigungen an Slack, Telegram oder einen Webhook.
Für wen es ist
Sentinello ist für alle, die mehr in Produktion haben, als sie im Blick behalten können — die Solo-Entwicklerin oder der Solo-Entwickler, das kleine Team, die Agentur, die Kundenprojekte jongliert.
- Sie veröffentlichen Nebenprojekte und Kundenseiten, die noch lange nach dem Launch sicher bleiben müssen.
- Sie wollen einen portfolioweiten Überblick, ohne CI in jedes Repository zu verdrahten.
- Sie hosten lieber selbst, als Ihr Code-Inventar einem SaaS zu übergeben.
Wenn Sie eine große Organisation mit Snyk oder Dependabot sind, die bereits in eine ausgereifte Pipeline integriert sind, behalten Sie sie — Sentinello versucht nicht, Enterprise-SCA zu ersetzen. Es ist für den Rest Ihres Portfolios da, den niemand im Blick hat. Es ist Open Source und MIT-lizenziert, sodass Sie genau nachlesen können, was es tut.
Versionshinweise
Sentinello erscheint regelmäßig — das hat jede Version gebracht.
Einfachere MCP-Einrichtung — ohne Umgebungsvariablen
v2.3.0 · 09.06.2026- MCP wird jetzt vollständig unter Einstellungen → MCP eingerichtet: Token generieren, um den Endpunkt /api/mcp einzuschalten, löschen, um ihn auszuschalten — die Umgebungsvariablen SENTINELLO_MCP_ENABLED und SENTINELLO_MCP_API_TOKEN entfallen (ein vorhandenes Umgebungs-Token wird beim Upgrade einmalig importiert)
- Fertige Verbindungs-Snippets zum Einfügen für Claude Code, Codex, Cursor und Claude Desktop, bereits mit deinem Token ausgefüllt
- Wenn SENTINELLO_PORTAL_BASE_URL in der Umgebung gesetzt ist, wird sie unter Einstellungen → Erweitert schreibgeschützt angezeigt, da sie maßgeblich bleibt und bei jedem Start erneut angewendet wird
Weniger Fehlalarme und selbstbereinigende Funde
v2.2.0 · 09.06.2026- Malware-Hinweise stimmen jetzt mit der genau betroffenen Version überein — eine saubere oder bereits behobene Version eines einst kompromittierten Pakets wird nicht mehr markiert
- Doppelte Funde lösen sich jetzt beim nächsten Scan von selbst auf, sodass alte oder verwaiste Einträge automatisch verschwinden
- Produktions- und Entwicklungs-Kennzeichnungen werden jetzt über alle Quellen (npm und OSV) auf eine einheitliche Weise berechnet
Ein aufgeräumter Projekt-Header und einheitliche Filter
v2.1.0 · 06.06.2026- Verschlankter Projekt-Header — Umbenennen direkt neben dem Titel, Stummschalten und Tags als Icon-Buttons
- Funde nach Quelle filtern (npm / OSV) über ein neues Dropdown neben dem Abhängigkeitstyp-Filter
- Einheitliche Dropdowns in der gesamten App, mit Tippsuche für lange Listen wie Zeitzonen
Klarere Upgrade-Hinweise
v2.0.1 · 04.06.2026- Erweiterte Upgrade-Schritte für die Breaking Changes von 2.0
- Die README weist auf die nur-localhost-Portbindung hin
Multi-Quellen-Scan und eine gehärtete, standardmäßig sichere Installation
v2.0.0 · 04.06.2026- OSV als optionale zweite Quelle (Einstellungen → Quellen, standardmäßig aus) mit Erkennung schädlicher Pakete, abgeglichen mit der öffentlichen OSV-Datenbank in einem lokalen Cache
- Funde werden jetzt quellenübergreifend zusammengeführt — eine Zeile pro Schwachstelle, jede Quelle markiert, der beste verfügbare Fix und die Vereinigung der Abhängigkeitspfade, mit Quellenfilter und einem Abhängigkeitspfad-Popover
- Sicherheitshärtung: der MCP-Endpunkt ist standardmäßig aus und erfordert ein Token, die Webhook-Zustellung ist gegen SSRF abgesichert, ein optionales Portal-Login, und der Container läuft als unprivilegierter Benutzer
- Einstellungen sind jetzt ein Bereich der obersten Ebene mit Seitenleiste und einer Profilseite
MCP-Integration & Neuigkeiten
v1.4.0 · 29.05.2026- MCP-Server unter /api/mcp für Claude Desktop, Cursor und andere Clients
- Neuer Bereich Einstellungen → MCP mit Server-URL und Token-Verwaltung
- Neuigkeiten-Symbol und ein Verlauf der Versionshinweise
Korrektur der Version in der Fußzeile
v1.3.1 · 28.05.2026- Die laufende Version wird in der Fußzeile sauber dargestellt
Verbesserungen bei Benachrichtigungen
v1.3.0 · 28.05.2026- Benachrichtigungen nach Umgebung filtern
- Einfacheres Formular zum Bearbeiten von Zielen
- Ein vorhandenes Benachrichtigungsziel duplizieren
Seiten für Projekte und Bibliotheken
v1.2.0 · 24.05.2026- Die Startansicht ist in eigene Seiten für Projekte und Bibliotheken aufgeteilt
Live-Neuladen des Zeitplans
v1.1.2 · 24.05.2026- Der Worker lädt den Scan-Zeitplan neu, sobald du Änderungen im Portal speicherst
Sichereres Löschen & ein klareres Update-Banner
v1.1.0 · 23.05.2026- Bestätigung vor dem Löschen von Roots und Benachrichtigungszielen
- Update-Hinweis als schließbares Banner oben
- Der Worker entfernt veraltete Roots, wenn ihr Host-Mount verschwindet
Korrekturen der Scanner-Genauigkeit
v1.0.1 · 23.05.2026- Verwirft Funde, deren installierte Version nicht wirklich im verwundbaren Bereich liegt
- Ermöglicht das Löschen eines Benachrichtigungsziels mit Versandverlauf
Erste Open-Source-Version
v1.0.0 · 23.05.2026- Die erste öffentliche Veröffentlichung von Sentinello
Roadmap
Heute überwacht Sentinello Ihre Node.js-Abhängigkeiten. Hier geht es hin — und das können Sie anfragen.
Intelligentere Priorisierung
GeplantFunde nach Ausnutzbarkeit ordnen und danach, ob der verwundbare Code tatsächlich erreichbar ist — zuerst das Wichtige triagieren.
Mehr Ökosysteme
GeplantScannen über Node hinaus auf Python, Go und Rust ausweiten — mit derselben dateisystemnativen Erkennung.
Mehr Integrationen
GeplantMehr Benachrichtigungskanäle und Wege, Sentinello an die Tools anzubinden, die Ihr Team bereits nutzt.
Statische Analyse (SAST)
GeplantErkennen Sie riskante Muster in Ihrem eigenen Code, nicht nur bekannte CVEs in Ihren Abhängigkeiten.
Secret- & Lizenz-Scan
GeplantMarkieren Sie committete Secrets und Lizenzprobleme im selben Portfolio, in derselben Warteschlange.
Sagen Sie uns, was Sie als Nächstes integrieren oder scannen würden — öffnen Sie ein Issue auf GitHub und gestalten Sie die Roadmap mit.