cc-statusline Security Report — Trusted | ClawSafe

10 /100

cc-statusline

Claude Code 状态栏配置助手 - 安装、预览、切换、美化状态栏

合法的 Claude Code 状态栏配置工具，无恶意行为，仅存在低风险供应链依赖（jq下载无版本锁定）

Skill Namecc-statusline

Duration77.6s

Enginepi

✓

Safe to install

可安全使用。建议关注 jq 依赖版本稳定性，生产环境可预先安装指定版本 jq。

Findings 2 items

Severity	Finding	Location
Low	jq 依赖下载无版本锁定 Supply Chain install_jq.sh 使用 'latest' 标签下载 jq 二进制文件，未指定固定版本号。虽然来源是官方可信地址(github.com/jqlang/jq)，但存在版本不确定性。 `local url="https://github.com/jqlang/jq/releases/latest/download/jq-linux-amd64"` → 建议锁定特定版本号，如 jq-1.7.1，避免因 latest 自动更新导致的兼容性问题	`scripts/install_jq.sh:62`
Low	sudo 安装系统级包 Priv Escalation 在 Linux 环境下 install_jq.sh 可能使用 sudo apt-get/dnf/yum 安装系统级 jq，虽然是工具依赖但需要提升权限。 `sudo apt-get install -y jq` → 可接受的行为，建议在文档中明确说明	`scripts/install_jq.sh:84`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	scripts/install_statusline_linux.sh:122 写入 ~/.claude/settings.json
Shell	`WRITE`	`WRITE`	✓ Aligned	scripts/activate_preset_statusline.sh 调用平台特定安装脚本
Network	`READ`	`READ`	✓ Aligned	scripts/install_jq.sh:62 仅从 github.com/jqlang/jq 下载 jq 二进制
Environment	`NONE`	`READ`	✓ Aligned	scripts/statusline.sh:18 读取 CLAUDE_CODE_EFFORT_LEVEL 等环境变量

1 findings

🔗

Medium External URL 外部 URL

https://jqlang.github.io/jq/download/

scripts/install_jq.sh:148

File Tree

30 files · 129.0 KB · 2968 lines

Shell 9f · 2046L Markdown 5f · 828L JSON 11f · 94L

├─ ▾ 📁 assets

│ └─ ▾ 📁 screenshots

│ ├─ 📦 cross-platform-install.svg 4.9 KB

│ ├─ 📦 custom-layout-preview.svg 8.6 KB

│ ├─ 📦 installed-statusline-examples.svg 5.0 KB

│ ├─ 📦 preset-selection.svg 5.6 KB

│ └─ 📦 theme-and-icons.svg 6.9 KB

├─ ▾ 📁 icons

│ ├─ 📋 classic.json JSON 6L · 240 B

│ ├─ 📋 developer.json JSON 6L · 257 B

│ └─ 📋 minimal.json JSON 6L · 225 B

├─ ▾ 📁 presets

│ ├─ 📋 developer.json JSON 13L · 489 B

│ ├─ 📋 full.json JSON 13L · 471 B

│ ├─ 📋 minimal.json JSON 13L · 361 B

│ └─ 📋 standard.json JSON 13L · 398 B

├─ ▾ 📁 references

│ ├─ 📝 modules.md Markdown 23L · 1.2 KB

│ └─ 📝 trigger-phrases.md Markdown 129L · 4.1 KB

├─ ▾ 📁 scripts

│ ├─ 🔧 activate_custom_statusline.sh Shell 167L · 4.6 KB

│ ├─ 🔧 activate_preset_statusline.sh Shell 16L · 568 B

│ ├─ 🔧 generate_custom_statusline.sh Shell 68L · 1.8 KB

│ ├─ 🔧 install_jq.sh Shell 153L · 4.6 KB

│ ├─ 🔧 install_statusline_linux.sh Shell 313L · 8.9 KB

│ ├─ 🔧 install_statusline_macos.sh Shell 313L · 8.9 KB

│ ├─ 🔧 install_statusline_windows.sh Shell 313L · 8.9 KB

│ ├─ 🔧 statusline.sh Shell 578L · 21.4 KB

│ └─ 🔧 uninstall_statusline.sh Shell 125L · 3.4 KB

├─ ▾ 📁 themes

│ ├─ 📋 aurora.json JSON 6L · 230 B

│ ├─ 📋 mono.json JSON 6L · 199 B

│ ├─ 📋 ocean.json JSON 6L · 232 B

│ └─ 📋 sunset.json JSON 6L · 208 B

├─ 📝 README.en.md Markdown 193L · 7.2 KB

├─ 📝 README.md Markdown 193L · 7.0 KB

└─ 📝 SKILL.md Markdown 290L · 12.5 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`jq`	`latest (unpinned)`	github.com/jqlang/jq	No	下载 URL 可信但无版本锁定

Security Positives

✓ 文档详尽，功能边界清晰，专注 statusLine 配置

✓ 代码结构良好，错误处理完善，有回退机制

✓ 操作原子性：只修改 statusLine 字段，保留其他配置

✓ 有备份和状态快照机制，支持回滚

✓ 无凭证访问、无数据外泄、无代码混淆

✓ 跨平台支持完善（Windows/macOS/Linux）

Scan Report

Findings 2 items

File Tree

Dependencies 1 items

Security Positives