Scan Report
This report was generated in Chinese. Some content may be in Chinese.
5 /100
news-to-markdown-skill
新闻文章转Markdown工具,支持13个平台
这是一个功能明确的新闻转Markdown工具,代码简单透明,无敏感操作,供应链风险已在文档中声明并提供审计入口。
Safe to install
可安全使用。建议通过 npm 固定版本或审计源码确认第三方包可信性。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | config.json - permissions.filesystem 声明写入 *.md 和 ./images/ |
| Network | READ | READ | ✓ Aligned | config.json - permissions.network 仅限新闻平台域名 |
| Shell | WRITE | WRITE | ✓ Aligned | SKILL.md - 声明使用npx执行第三方CLI工具 |
7 findings
Medium External URL 外部 URL
https://www.toutiao.com/article/123 SKILL.md:113 Medium External URL 外部 URL
https://news.sina.com.cn/... SKILL.md:529 Medium External URL 外部 URL
https://36kr.com/p/... SKILL.md:530 Medium External URL 外部 URL
https://mp.weixin.qq.com/s/... SKILL.md:531 Medium External URL 外部 URL
https://36kr.com/p/123 scripts/postinstall.js:39 Medium External URL 外部 URL
https://mp.weixin.qq.com/s/xxx scripts/run.js:65 Info Email 邮箱地址
[email protected] SKILL.md:5 File Tree
5 files · 25.0 KB · 956 lines Markdown 2f · 736L
JavaScript 2f · 142L
JSON 1f · 78L
├─
▾
scripts
│ ├─
postinstall.js
JavaScript
│ └─
run.js
JavaScript
├─
config.json
⚠
JSON
├─
README.md
Markdown
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
news-to-markdown | ^3.1.2 | npm | No | 通过npx动态拉取,版本范围宽泛,但提供了审计入口 |
Security Positives
✓ 代码极其简单,仅通过spawnSync调用npx,无复杂逻辑
✓ 文档详细声明了供应链风险和审计方式
✓ 配置文件清晰定义了权限范围
✓ 无敏感文件访问、无凭证读取、无数据外传
✓ 无base64编码、无eval调用、无混淆代码
✓ 核心业务逻辑完全依赖外部开源库(news-to-markdown),代码可审计
✓ 提供GitHub源码审计入口