github-stars-notion-sync Security Report — Low Risk | ClawSafe

20 /100

github-stars-notion-sync

Export GitHub starred repositories by category and sync them to a Notion database

GitHub Stars 到 Notion 同步工具，功能透明、文档与代码行为一致，无恶意行为发现，仅存在依赖无版本锁定的轻微瑕疵。

Skill Namegithub-stars-notion-sync

Duration36.2s

Enginepi

✓

Safe to install

建议在生产环境中锁定 requests 库版本以提高可重现性，其余功能可安全使用。

Findings 1 items

Severity	Finding	Location
Low	依赖库无版本锁定 Supply Chain requirements.txt 中 requests 库未指定版本，可能导致依赖不一致或潜在漏洞利用 `requests` → 建议指定版本，如 requests>=2.28.0	`requirements.txt:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	scripts/export_stars.sh:14 - 写入 assets/starred_lists.md
Network	`READ`	`WRITE`	✓ Aligned	scripts/sync_stars_to_notion_db.py:77,132 - POST 数据到 api.notion.com
Shell	`WRITE`	`WRITE`	✓ Aligned	agent.yaml 定义使用 bash 执行脚本，scripts/export_stars.sh:1 使用标准 bash
Environment	`READ`	`READ`	✓ Aligned	scripts/sync_stars_to_notion_db.py:21 - 仅读取 NOTION_API_KEY

6 findings

🔗

Medium External URL 外部 URL

https://developers.notion.com/

README.md:30

🔗

Medium External URL 外部 URL

https://jqlang.github.io/jq/

references/export_stars.md:19

🔗

Medium External URL 外部 URL

https://api.notion.com/v1/databases

scripts/sync_stars_to_notion_db.py:77

🔗

Medium External URL 外部 URL

https://api.notion.com/v1/databases/

scripts/sync_stars_to_notion_db.py:100

🔗

Medium External URL 外部 URL

https://api.notion.com/v1/pages/

scripts/sync_stars_to_notion_db.py:121

🔗

Medium External URL 外部 URL

https://api.notion.com/v1/pages

scripts/sync_stars_to_notion_db.py:132

File Tree

8 files · 19.6 KB · 524 lines

Markdown 4f · 239L Python 1f · 198L Shell 1f · 66L YAML 1f · 20L Text 1f · 1L

├─ ▾ 📁 references

│ ├─ 📝 export_stars.md Markdown 64L · 2.9 KB

│ └─ 📝 sync_stars.md Markdown 84L · 4.2 KB

├─ ▾ 📁 scripts

│ ├─ 🔧 export_stars.sh Shell 66L · 1.9 KB

│ └─ 🐍 sync_stars_to_notion_db.py Python 198L · 6.7 KB

├─ 📋 agent.yaml YAML 20L · 609 B

├─ 📝 README.md Markdown 59L · 2.1 KB

├─ 📄 requirements.txt Text 1L · 9 B

└─ 📝 SKILL.md Markdown 32L · 1.3 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`requests`	`*`	pip	No	无版本锁定，建议锁定为 requests>=2.28.0

Security Positives

✓ 文档与代码行为完全一致，无阴影功能

✓ 仅访问声明的敏感资源（NOTION_API_KEY）

✓ 网络请求仅指向官方 Notion API (api.notion.com)

✓ 无 base64 编码、eval 执行或代码混淆

✓ 文件系统写入仅限 assets/ 目录

✓ 使用标准 CLI 工具（gh、jq）而非自定义网络请求

Scan Report

Findings 1 items

File Tree

Dependencies 1 items

Security Positives