扫描报告
0 /100
hwc-infra
华为云基础设施管理助手,基于 KooCLI (hcloud),支持 ECS/VPC/RDS 查询和监控
华为云基础设施管理助手,代码功能与文档声明一致,安装华为官方 KooCLI 二进制工具,无越权行为。
可以安装
无需修改,可直接使用。建议记录网络下载依赖的哈希校验机制以增强完整性。
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 无版本锁定下载 | scripts/install_koocli.py:21 |
| 提示 | 临时文件写入 /tmp | scripts/install_koocli.py:138 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | WRITE | ✓ 一致 | scripts/install_koocli.py:98 写临时文件用于解压,install_hcloud 写安装目录,属于安装工具的合理需求 |
| 网络访问 | READ | READ | ✓ 一致 | scripts/install_koocli.py:21-28 下载华为官方 OBS 存储的 CLI 二进制,行为与声明一致 |
| 命令执行 | WRITE | WRITE | ✓ 一致 | scripts/install_koocli.py:107-115 subprocess 调用 'hcloud version' 验证安装,SKILL.md 第… |
7 项发现
中危 外部 URL 外部 URL
https://support.huaweicloud.com/qs-hcli/hcli_02_003.html SKILL.md:29 中危 外部 URL 外部 URL
https://cn-north-4-hdn-koocli.obs.cn-north-4.myhuaweicloud.com/cli/ scripts/install_koocli.py:21 中危 外部 URL 外部 URL
https://cn-north-4-hdn-koocli.obs.cn-north-4.myhuaweicloud.com/cli/latest/huaweicloud-cli-linux-amd64.tar.gz scripts/install_koocli.py:23 中危 外部 URL 外部 URL
https://cn-north-4-hdn-koocli.obs.cn-north-4.myhuaweicloud.com/cli/latest/huaweicloud-cli-linux-arm64.tar.gz scripts/install_koocli.py:24 中危 外部 URL 外部 URL
https://cn-north-4-hdn-koocli.obs.cn-north-4.myhuaweicloud.com/cli/latest/huaweicloud-cli-windows-amd64.zip scripts/install_koocli.py:25 中危 外部 URL 外部 URL
https://cn-north-4-hdn-koocli.obs.cn-north-4.myhuaweicloud.com/cli/latest/huaweicloud-cli-mac-amd64.tar.gz scripts/install_koocli.py:27 中危 外部 URL 外部 URL
https://cn-north-4-hdn-koocli.obs.cn-north-4.myhuaweicloud.com/cli/latest/huaweicloud-cli-mac-arm64.tar.gz scripts/install_koocli.py:28 目录结构
3 文件 · 11.4 KB · 384 行 Python 1f · 234L
Markdown 2f · 150L
├─
▾
references
│ └─
hcloud-queries.md
Markdown
├─
▾
scripts
│ └─
install_koocli.py
Python
└─
SKILL.md
Markdown
安全亮点
✓ 文档与代码行为完全一致,无阴影功能
✓ 网络请求指向华为云官方域名,无可疑外部通信
✓ subprocess 仅用于版本验证,无未声明的 shell 命令执行
✓ 安装脚本最后清理临时文件,环境整洁
✓ 写操作(删除/终止)明确标注需用户确认,符合最小权限原则
✓ 无凭证收割、无环境变量遍历、无 base64/eval 混淆