Bun has emerged as the fastest-growing JavaScript runtime in 2026, attracting developers with native TypeScript execution, a built-in package manager, and benchmark-topping performance. But speed comes with security trade-offs that are now being actively exploited. CVE-2026-24910 revealed that Bun's trusted dependencies list could be spoofed via file:, link:, git:, or github: protocols — allowing attackers to execute lifecycle scripts on developer machines without any warning. In parallel, attackers have weaponized the Bun runtime itself as a credential stealer payload: the SAP Mini Shai-Hulud campaign (April 29, 2026) downloaded Bun from GitHub Releases to execute an 11.6 MB obfuscated stealer, and the PyTorch Lightning PyPI compromise (April 30, 2026) used the same technique against 311,000 daily downloads. This guide covers every Bun security surface — from trusted dependencies hardening to bun.lock integrity, the new Security Scanner API, Bun Shell safe patterns, and a cross-runtime security comparison with Node.js 24 and Deno.

Bun s’est imposé comme le runtime JavaScript à la croissance la plus rapide en 2026, attirant les développeurs avec l’exécution native de TypeScript, un gestionnaire de paquets intégré et des performances record. Mais la vitesse implique des compromis de sécurité désormais activement exploités. CVE-2026-24910 a révélé que la liste des dépendances de confiance de Bun pouvait être usurpée via les protocoles file:, link:, git: ou github: — permettant aux attaquants d’exécuter des scripts de cycle de vie sur les machines des développeurs sans aucun avertissement. En parallèle, les attaquants ont transformé le runtime Bun lui-même en payload de vol d’identifiants : la campagne SAP Mini Shai-Hulud (29 avril 2026) téléchargeait Bun depuis GitHub Releases pour exécuter un stealer obfusqué de 11,6 Mo, et la compromission PyTorch Lightning sur PyPI (30 avril 2026) utilisait la même technique contre 311 000 téléchargements quotidiens. Ce guide couvre toutes les surfaces de sécurité de Bun — du durcissement des dépendances de confiance à l’intégrité de bun.lock, la nouvelle Security Scanner API, les patterns sûrs de Bun Shell et une comparaison de sécurité cross-runtime avec Node.js 24 et Deno.

CVE-2026-24910
Trusted deps spoofing — fixed in Bun 1.3.5
Usurpation deps de confiance — corrigé dans Bun 1.3.5
Source: NVD / CVEDetails, 2026
311K/day
PyTorch Lightning downloads when Bun-based stealer hit PyPI
Téléchargements PyTorch Lightning quand le stealer Bun a touché PyPI
Source: pypistats.org, April 2026
11.6 MB
Obfuscated Bun-based credential stealer payload size
Taille du payload stealer obfusqué basé sur Bun
Source: Snyk Blog, April 2026
0
Default permissions required by Bun (trusts all code)
Permissions requises par défaut par Bun (fait confiance à tout le code)
Source: Bun docs / daily.dev comparison, 2026

CVE-2026-24910: Trusted Dependencies Spoofing in Bun <1.3.5

CVE-2026-24910 : Usurpation de Dépendances de Confiance dans Bun <1.3.5

Bun maintains a default "trusted dependencies" list — a set of well-known npm packages (like esbuild, sharp, better-sqlite3) whose lifecycle scripts are allowed to run during bun install. CVE-2026-24910, disclosed in early 2026, revealed a critical flaw: the trust check matched on package name alone, without validating the package source. An attacker could create a malicious package with the same name as a trusted npm package but reference it via file:, link:, git:, or github: protocols. Bun would treat the impostor as trusted, silently executing its lifecycle scripts.

Bun maintient une liste par défaut de « dépendances de confiance » — un ensemble de packages npm bien connus (comme esbuild, sharp, better-sqlite3) dont les scripts de cycle de vie sont autorisés à s’exécuter pendant bun install. CVE-2026-24910, divulguée début 2026, a révélé une faille critique : la vérification de confiance se basait uniquement sur le nom du package, sans valider sa source. Un attaquant pouvait créer un package malveillant portant le même nom qu’un package npm de confiance mais le référencer via les protocoles file:, link:, git: ou github:. Bun traitait l’imposteur comme fiable, exécutant silencieusement ses scripts de cycle de vie.

How the Attack Works

Comment l’Attaque Fonctionne

// Malicious package.json
{
  "dependencies": {
    // This name matches a trusted npm package
    "esbuild": "github:attacker/malicious-esbuild"
  }
}
// Bun < 1.3.5: trusts this because "esbuild" is in the default allow list
// The git-hosted package's postinstall runs unchecked

The fix in Bun 1.3.5 tightens trust matching so that non-npm specifiers no longer inherit trust based on name alone. If you are running Bun <1.3.5, upgrade immediately. You can also set trustedDependencies explicitly in your package.json to override the default list, and run bun install --ignore-scripts in untrusted contexts.

Le correctif dans Bun 1.3.5 renforce la correspondance de confiance pour que les spécificateurs non-npm n’héritent plus de la confiance basée uniquement sur le nom. Si vous exécutez Bun <1.3.5, mettez à jour immédiatement. Vous pouvez aussi définir trustedDependencies explicitement dans votre package.json pour remplacer la liste par défaut, et exécuter bun install --ignore-scripts dans les contextes non fiables.

Bun Weaponized as a Credential Stealer Runtime

Bun Utilisé comme Runtime de Vol d’Identifiants

Beyond vulnerabilities in Bun itself, 2026 saw a new pattern: attackers packaging the Bun runtime as a stealer delivery mechanism. Why Bun? It’s a single 40 MB binary with no external dependencies, executes JavaScript and TypeScript natively, and is less likely to trigger security tools trained on Node.js-based malware.

Au-delà des vulnérabilités dans Bun lui-même, 2026 a vu émerger un nouveau pattern : les attaquants empaquetant le runtime Bun comme mécanisme de livraison de stealers. Pourquoi Bun ? C’est un binaire unique de 40 Mo sans dépendances externes, il exécute JavaScript et TypeScript nativement, et il est moins susceptible de déclencher les outils de sécurité entraînés sur du malware basé sur Node.js.

SAP Mini Shai-Hulud (April 29, 2026)

SAP Mini Shai-Hulud (29 avril 2026)

On April 29, 2026, attackers published malicious versions of four SAP-related npm packages: mbt, @cap-js/db-service, @cap-js/sqlite, and @cap-js/postgres. Each carried an identical preinstall hook that downloaded the Bun runtime from GitHub Releases and used it to execute an 11.6 MB obfuscated credential stealer. The stolen data included npm and GitHub tokens, SSH keys, AWS/Azure/GCP credentials, Kubernetes configurations, and CI/CD pipeline secrets. The malware harvested developer npm tokens and self-propagated by publishing itself to every other package the stolen token could reach — creating repositories branded "A Mini Shai-Hulud has Appeared" on victims’ GitHub accounts.

Le 29 avril 2026, des attaquants ont publié des versions malveillantes de quatre packages npm liés à SAP : mbt, @cap-js/db-service, @cap-js/sqlite et @cap-js/postgres. Chacun contenait un hook preinstall identique qui téléchargeait le runtime Bun depuis GitHub Releases et l’utilisait pour exécuter un stealer de credentials obfusqué de 11,6 Mo. Les données volées comprenaient les tokens npm et GitHub, les clés SSH, les credentials AWS/Azure/GCP, les configurations Kubernetes et les secrets de pipeline CI/CD. Le malware récoltait les tokens npm des développeurs et s’auto-propageait en se publiant sur chaque autre package accessible par le token volé — créant des dépôts intitulés « A Mini Shai-Hulud has Appeared » sur les comptes GitHub des victimes.

PyTorch Lightning PyPI Compromise (April 30, 2026)

Compromission PyTorch Lightning sur PyPI (30 avril 2026)

Just one day later, two malicious releases of the lightning PyPI package (versions 2.6.2 and 2.6.3) were published. The deep learning framework, formerly pytorch-lightning, sees 311,027 downloads per day and 7.9 million per month. The malicious versions shipped a hidden _runtime directory that downloaded Bun at import time — not install time — and used it to execute the same obfuscated credential stealer. This cross-ecosystem pattern (npm attack using Bun, PyPI attack using Bun) demonstrates that Bun has become a preferred execution engine for supply chain malware.

Juste un jour plus tard, deux versions malveillantes du package PyPI lightning (versions 2.6.2 et 2.6.3) ont été publiées. Le framework de deep learning, anciennement pytorch-lightning, totalise 311 027 téléchargements par jour et 7,9 millions par mois. Les versions malveillantes embarquaient un répertoire caché _runtime qui téléchargeait Bun au moment de l’import — pas de l’installation — et l’utilisait pour exécuter le même stealer de credentials obfusqué. Ce pattern cross-écosystème (attaque npm utilisant Bun, attaque PyPI utilisant Bun) démontre que Bun est devenu un moteur d’exécution privilégié pour les malwares de chaîne d’approvisionnement.

Bun 1.3 Security Features: What’s New

Fonctionnalités de Sécurité de Bun 1.3 : Quoi de Neuf

Bun 1.3, released in 2026, introduced several security-focused features that address the growing supply chain threat landscape:

Bun 1.3, sorti en 2026, a introduit plusieurs fonctionnalités axées sur la sécurité qui répondent au paysage croissant des menaces de chaîne d’approvisionnement :

Security Scanner API (Socket Partnership)

Security Scanner API (Partenariat Socket)

Bun 1.3 introduces the Security Scanner API, enabling package scanning for known CVEs, malicious packages, and license compliance during bun install, bun add, and other package operations. Bun partnered with Socket to ship the official @socketsecurity/bun-security-scanner plugin. This runs automatically during installation, blocking packages with known malware signatures before they reach your node_modules.

Bun 1.3 introduit la Security Scanner API, permettant le scan des packages pour les CVE connues, les packages malveillants et la conformité des licences pendant bun install, bun add et les autres opérations de gestion de packages. Bun s’est associé à Socket pour livrer le plugin officiel @socketsecurity/bun-security-scanner. Celui-ci s’exécute automatiquement pendant l’installation, bloquant les packages avec des signatures de malware connues avant qu’ils n’atteignent votre node_modules.

Minimum Publish Age Protection

Protection par Âge Minimum de Publication

Bun 1.3 can require packages to have been published for a minimum time period before installation. This prevents the common attack pattern where a malicious version is published and must be consumed within minutes before takedown — giving the community time to identify threats. Configure it in your bunfig.toml:

Bun 1.3 peut exiger que les packages aient été publiés depuis un délai minimum avant l’installation. Cela empêche le pattern d’attaque courant où une version malveillante est publiée et doit être consommée en quelques minutes avant le retrait — donnant à la communauté le temps d’identifier les menaces. Configurez-le dans votre bunfig.toml :

# bunfig.toml
[install.security]
# Reject packages published less than 72 hours ago
minimumPublishAge = "72h"

Trusted Dependencies Hardening (Post-CVE-2026-24910)

Durcissement des Dépendances de Confiance (Post-CVE-2026-24910)

After the CVE-2026-24910 fix in 1.3.5, best practice is to explicitly declare your trusted dependencies in package.json rather than relying on Bun’s defaults:

Après le correctif de CVE-2026-24910 dans la version 1.3.5, la bonne pratique est de déclarer explicitement vos dépendances de confiance dans package.json plutôt que de vous fier aux valeurs par défaut de Bun :

{
  "trustedDependencies": [
    "esbuild",
    "sharp",
    "better-sqlite3"
  ]
}

This ensures only explicitly listed npm packages can execute lifecycle scripts. Any package not in this list — regardless of its name or source protocol — will have its scripts silently skipped.

Cela garantit que seuls les packages npm explicitement listés peuvent exécuter des scripts de cycle de vie. Tout package absent de cette liste — indépendamment de son nom ou protocole source — verra ses scripts silencieusement ignorés.

bun.lock & Lockfile Security

bun.lock & Sécurité du Lockfile

Since Bun v1.2, the default lockfile changed from the binary bun.lockb to the text-based bun.lock (JSONC format). This is a major security improvement: text-based lockfiles render in GitHub diffs, making it easy to review dependency changes in pull requests — a critical defense against lockfile poisoning attacks.

Depuis Bun v1.2, le lockfile par défaut est passé du binaire bun.lockb au format texte bun.lock (format JSONC). C’est une amélioration majeure de sécurité : les lockfiles texte s’affichent dans les diffs GitHub, facilitant la revue des changements de dépendances dans les pull requests — une défense critique contre les attaques de lockfile poisoning.

CI/CD Best Practices

Bonnes Pratiques CI/CD

# GitHub Actions — frozen lockfile in CI
- name: Install dependencies
  run: bun install --frozen-lockfile
  # Fails the build if bun.lock would change
  # Prevents dependency drift and lockfile tampering

Always use bun install --frozen-lockfile in CI to fail builds if the lockfile would change. Combine this with bun pm ls to audit your dependency tree before deployment. The bun audit command scans your installed packages against the GitHub Advisory Database (GHSA) and surfaces vulnerable transitive dependencies.

Utilisez toujours bun install --frozen-lockfile en CI pour faire échouer les builds si le lockfile changerait. Combinez avec bun pm ls pour auditer votre arbre de dépendances avant le déploiement. La commande bun audit scanne vos packages installés contre la GitHub Advisory Database (GHSA) et fait remonter les dépendances transitives vulnérables.

Bun Shell: Secure by Design, Dangerous in Raw Mode

Bun Shell : Sécurisé par Conception, Dangereux en Mode Raw

Bun’s built-in shell ($ template literal) is a re-implementation of bash that runs in the same Bun process — it does not invoke /bin/sh. By design, all interpolated variables are treated as single, literal strings, preventing shell injection:

Le shell intégré de Bun (template literal $) est une ré-implémentation de bash qui s’exécute dans le même processus Bun — il n’invoque pas /bin/sh. Par conception, toutes les variables interpolées sont traitées comme des chaînes littérales uniques, empêchant l’injection shell :

import { $ } from "bun";

const userInput = "my-file.txt; rm -rf /";

// SAFE: treated as a single argument
// ls tries to read "my-file.txt; rm -rf /" as one filename
await $`ls ${userInput}`;

// DANGEROUS: raw mode bypasses escaping
// Never use .raw() with user input
await $`ls`.raw(userInput); // Command injection possible!

The key rule: never use .raw() or Bun.spawn() with unsanitized user input. The default $ template literal is safe, but raw mode and direct process spawning bypass all escaping. CVE-2025-8022 was initially filed as a Bun command injection vulnerability but was withdrawn — the injection vector requires explicit use of raw mode by the consuming application, not a flaw in Bun itself.

La règle clé : n’utilisez jamais .raw() ou Bun.spawn() avec une entrée utilisateur non assainie. Le template literal $ par défaut est sûr, mais le mode raw et le spawn de processus direct contournent tout échappement. CVE-2025-8022 a initialement été déposée comme une vulnérabilité d’injection de commande dans Bun mais a été retirée — le vecteur d’injection nécessite l’utilisation explicite du mode raw par l’application consommatrice, pas une faille dans Bun lui-même.

Bun vs Node.js 24 vs Deno: Security Model Comparison

Bun vs Node.js 24 vs Deno : Comparaison des Modèles de Sécurité

The three major JavaScript runtimes in 2026 take fundamentally different approaches to security. Understanding these differences is critical when choosing a runtime for security-sensitive applications.

Les trois principaux runtimes JavaScript en 2026 adoptent des approches fondamentalement différentes en matière de sécurité. Comprendre ces différences est crucial pour choisir un runtime pour les applications sensibles à la sécurité.

Security Feature Fonctionnalité de Sécurité Bun 1.3 Node.js 24 Deno 2.x
Permission model Modèle de permissions None (trusts all code) Aucun (fait confiance à tout le code) Opt-in (--permission flag, Stable in v22.13.0) Opt-in (flag --permission, Stable en v22.13.0) Default deny (sandboxed from start) Refus par défaut (sandboxed dès le démarrage)
Install scripts Scripts d’installation Trusted deps allow list Liste de dépendances de confiance npm v12: blocked by default npm v12 : bloqués par défaut No npm lifecycle scripts Pas de scripts npm de cycle de vie
Dependency audit Audit des dépendances bun audit (GHSA) npm audit (GHSA + NVD) deno audit (GHSA)
Lockfile format Format du lockfile bun.lock (JSONC text, v1.2+) bun.lock (texte JSONC, v1.2+) package-lock.json v3 deno.lock (JSON)
Supply chain scanner Scanner supply chain Security Scanner API (Socket) Security Scanner API (Socket) npm provenance + SLSA npm provenance + SLSA JSR provenance Provenance JSR
Network control Contrôle réseau None Aucun --allow-net (opt-in) --allow-net (opt-in) --allow-net=host (granular) --allow-net=host (granulaire)

Key takeaway: Deno is the only runtime that sandboxes all code by default — a compromised npm package cannot exfiltrate data without --allow-net. Node.js 24 now has an opt-in Permission Model (stable since v22.13.0) plus npm v12’s install script blocking. Bun prioritizes speed and developer experience, with security features catching up but no permission model on the roadmap. If security is your top priority, consider running untrusted dependencies under Deno or Node.js with --permission.

Point clé : Deno est le seul runtime qui sandbox tout le code par défaut — un package npm compromis ne peut pas exfiltrer de données sans --allow-net. Node.js 24 dispose désormais d’un Permission Model opt-in (stable depuis v22.13.0) plus le blocage des scripts d’installation de npm v12. Bun privilégie la vitesse et l’expérience développeur, avec des fonctionnalités de sécurité qui rattrapent leur retard mais aucun modèle de permissions à l’horizon. Si la sécurité est votre priorité absolue, envisagez d’exécuter les dépendances non fiables sous Deno ou Node.js avec --permission.

Bun Security Hardening Checklist

Checklist de Durcissement Sécurité Bun

01
Upgrade to Bun ≥1.3.5 Mettez à jour vers Bun ≥1.3.5

Patches CVE-2026-24910 (trusted dependencies spoofing). Check your version with bun --version.

Corrige CVE-2026-24910 (usurpation de dépendances de confiance). Vérifiez votre version avec bun --version.

02
Declare trustedDependencies explicitly Déclarez trustedDependencies explicitement

Don’t rely on Bun’s default list. Set "trustedDependencies" in package.json to only the packages that genuinely need lifecycle scripts (native modules like sharp, better-sqlite3).

Ne vous fiez pas à la liste par défaut de Bun. Définissez "trustedDependencies" dans package.json avec uniquement les packages qui ont réellement besoin de scripts de cycle de vie (modules natifs comme sharp, better-sqlite3).

03
Use text-based bun.lock (not bun.lockb) Utilisez bun.lock en format texte (pas bun.lockb)

Ensure you’re on Bun ≥1.2 and commit bun.lock (not the binary bun.lockb). Review lockfile diffs in every PR.

Assurez-vous d’être sur Bun ≥1.2 et commitez bun.lock (pas le binaire bun.lockb). Revoyez les diffs du lockfile dans chaque PR.

04
Run bun install --frozen-lockfile in CI Exécutez bun install --frozen-lockfile en CI

Fails the build if bun.lock would change. Prevents dependency drift and lockfile tampering.

Fait échouer le build si bun.lock changerait. Empêche la dérive des dépendances et la falsification du lockfile.

05
Enable the Security Scanner API Activez la Security Scanner API

Install @socketsecurity/bun-security-scanner to scan packages for known malware during bun install.

Installez @socketsecurity/bun-security-scanner pour scanner les packages à la recherche de malware connu pendant bun install.

06
Run bun audit regularly Exécutez bun audit régulièrement

Scan your installed packages against GHSA. Automate in CI as a weekly scheduled job.

Scannez vos packages installés contre GHSA. Automatisez en CI avec un job planifié hebdomadaire.

07
Never use $.raw() with user input N’utilisez jamais $.raw() avec une entrée utilisateur

Bun Shell’s default $ template literal is safe. Raw mode and Bun.spawn() bypass escaping — treat them like eval().

Le template literal $ par défaut de Bun Shell est sûr. Le mode raw et Bun.spawn() contournent l’échappement — traitez-les comme eval().

08
Set minimumPublishAge in bunfig.toml Définissez minimumPublishAge dans bunfig.toml

Require packages to be published for ≥72 hours before installation. Blocks freshly published malicious versions.

Exigez que les packages soient publiés depuis ≥72 heures avant l’installation. Bloque les versions malveillantes fraîchement publiées.

Frequently Asked Questions

Questions Fréquentes

Is Bun safe for production in 2026?

Bun est-il sûr pour la production en 2026 ?

Bun is production-ready for many use cases, but it lacks a permission model — all code runs with full system access by default. For security-sensitive workloads, you need to compensate with explicit trusted dependencies, frozen lockfiles, the Security Scanner API, and container-level isolation. If you run untrusted code or need granular network/filesystem controls, consider Deno or Node.js 24 with --permission.

Bun est prêt pour la production dans de nombreux cas d’usage, mais il manque un modèle de permissions — tout le code s’exécute avec un accès système complet par défaut. Pour les charges sensibles à la sécurité, vous devez compenser avec des dépendances de confiance explicites, des lockfiles gelés, la Security Scanner API et l’isolation au niveau du conteneur. Si vous exécutez du code non fiable ou avez besoin de contrôles granulaires réseau/système de fichiers, considérez Deno ou Node.js 24 avec --permission.

Why are attackers using Bun as a malware runtime?

Pourquoi les attaquants utilisent-ils Bun comme runtime de malware ?

Bun offers three advantages for attackers: it’s a single binary with no dependencies (easy to download and execute), it runs JavaScript and TypeScript natively (no transpilation needed for the stealer payload), and it evades security tools trained to detect Node.js-based malware. The Mini Shai-Hulud and Lightning attacks both downloaded Bun from legitimate GitHub Releases URLs, making the download look like a normal development tool fetch.

Bun offre trois avantages pour les attaquants : c’est un binaire unique sans dépendances (facile à télécharger et exécuter), il exécute JavaScript et TypeScript nativement (pas de transpilation nécessaire pour le payload stealer), et il échappe aux outils de sécurité entraînés à détecter les malwares basés sur Node.js. Les attaques Mini Shai-Hulud et Lightning ont toutes deux téléchargé Bun depuis des URL légitimes de GitHub Releases, faisant ressembler le téléchargement à une récupération normale d’outil de développement.

How does bun.lock compare to package-lock.json for security?

Comment bun.lock se compare-t-il à package-lock.json pour la sécurité ?

Since Bun v1.2, bun.lock uses JSONC text format — readable in diffs, reviewable in PRs, and auditable like package-lock.json v3. The old binary bun.lockb was opaque and impossible to diff, meaning lockfile poisoning could go undetected. Always use the text format and commit bun.lock to your repository. Run bun install --frozen-lockfile in CI to enforce integrity.

Depuis Bun v1.2, bun.lock utilise le format texte JSONC — lisible dans les diffs, vérifiable dans les PR et auditable comme package-lock.json v3. L’ancien bun.lockb binaire était opaque et impossible à différencier, ce qui signifiait que le lockfile poisoning pouvait passer inaperçu. Utilisez toujours le format texte et commitez bun.lock dans votre dépôt. Exécutez bun install --frozen-lockfile en CI pour garantir l’intégrité.

Should I switch from Bun to Deno for better security?

Devrais-je passer de Bun à Deno pour une meilleure sécurité ?

It depends on your threat model. Deno’s default-deny permission system is genuinely stronger for running untrusted code or npm packages with unknown provenance. But if your application runs trusted first-party code in containers with proper network segmentation, Bun’s speed advantages may outweigh the permission model gap. The most practical approach: use Bun for your application code, but run dependency audits with bun audit and enable the Security Scanner API to catch malicious packages before they execute.

Cela dépend de votre modèle de menace. Le système de permissions par refus par défaut de Deno est véritablement plus fort pour exécuter du code non fiable ou des packages npm de provenance inconnue. Mais si votre application exécute du code first-party de confiance dans des conteneurs avec une segmentation réseau adéquate, les avantages de vitesse de Bun peuvent compenser l’absence de modèle de permissions. L’approche la plus pragmatique : utilisez Bun pour votre code applicatif, mais lancez des audits de dépendances avec bun audit et activez la Security Scanner API pour attraper les packages malveillants avant qu’ils ne s’exécutent.

How do I automate Bun dependency monitoring?

Comment automatiser la surveillance des dépendances Bun ?

Bun uses the npm registry and is compatible with package-lock.json. CVE OptiBot scans your lockfiles daily against the OSV.dev database and alerts you the moment a new CVE affects any package in your dependency tree — whether you use Bun, npm, yarn, or pnpm. Upload your bun.lock or package-lock.json to get continuous monitoring with no code access required.

Bun utilise le registre npm et est compatible avec package-lock.json. CVE OptiBot scanne vos lockfiles quotidiennement contre la base de données OSV.dev et vous alerte dès qu’une nouvelle CVE affecte un package dans votre arbre de dépendances — que vous utilisiez Bun, npm, yarn ou pnpm. Téléchargez votre bun.lock ou package-lock.json pour un monitoring continu sans accès au code requis.

Monitor Your Bun Dependencies Automatically

Surveillez Vos Dépendances Bun Automatiquement

CVE OptiBot scans your bun.lock or package-lock.json daily against OSV.dev and alerts you the moment a new vulnerability affects your Bun project — from trusted dependency spoofing flaws to npm supply chain compromises. No code access required.

CVE OptiBot scanne votre bun.lock ou package-lock.json quotidiennement via OSV.dev et vous alerte dès qu’une nouvelle vulnérabilité affecte votre projet Bun — des failles d’usurpation de dépendances de confiance aux compromissions de chaîne d’approvisionnement npm. Aucun accès au code requis.

Start free monitoring Démarrer le monitoring gratuit