中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
bp-monthly-report-skill
从BP系统和进展报告生成月度报告的技能,支持目标-关键成果-举措卡片生成和交通灯评价
企业级BP报告生成工具,仅通过API获取工作汇报数据并生成结构化月报,无恶意行为发现。
Skill Namebp-monthly-report-skill
Duration41.6s
Enginepi
Safe to install
可正常使用。外部API连接为企业内网域名的BP协同系统,属正常业务集成。

Findings 3 items

Severity Finding Location
Low
凭证管理未文档化
脚本通过命令行参数 --app-key 接收API凭证,但SKILL.md未说明凭证来源、存储和使用方式
headers={"appKey": app_key}
→ 建议在文档中说明凭证管理规范(如环境变量注入方式)
 scripts/collect_bp_month_evidence.py:28
Low
外部API域名硬编码
BASE_URL硬编码为 sg-al-cwork-web.mediportal.com.cn,虽为企业内网域名但缺乏灵活性
BASE_URL = "https://sg-al-cwork-web.mediportal.com.cn/open-api"
→ 建议通过环境变量或配置注入API地址
 scripts/collect_bp_month_evidence.py:23
Info
模板渲染脚本含硬编码路径
render_chenshuting_march_scheme_reports.py 和 render_fuzhongming_january_scheme_v2.py 包含个人开发环境路径
run_dir = Path("/Users/hou/Documents/UGit/BP- writer/...")
→ 这些是示例/模板脚本,应改为参数化或移除
 scripts/render_chenshuting_march_scheme_reports.py:213
ResourceDeclaredInferredStatusEvidence
Network READ READ ✓ Aligned scripts/collect_bp_month_evidence.py:28 使用requests调用外部API
Filesystem WRITE WRITE ✓ Aligned scripts/build_dual_report_artifacts.py:35-36 写YAML文件
1 findings
🔗
Medium External URL 外部 URL
https://sg-al-cwork-web.mediportal.com.cn/open-api
scripts/collect_bp_month_evidence.py:28

File Tree

19 files · 213.8 KB · 5623 lines
Markdown 13f · 3015L Python 6f · 2608L
├─ 📁 assets
│ ├─ 📝 P001-T001-MONTH-TPL-01_月报模板_v1.md Markdown 124L · 3.0 KB
│ └─ 📝 人力资源中心_月报填写规范_组织示例_v1.md Markdown 187L · 4.9 KB
├─ 📁 references
│ ├─ 📝 artifact-layout.md Markdown 170L · 3.9 KB
│ ├─ 📝 bp-system.md Markdown 245L · 7.1 KB
│ ├─ 📝 business-description.zh-CN.md Markdown 473L · 14.2 KB
│ ├─ 📝 design-solution.zh-CN.md Markdown 810L · 20.5 KB
│ ├─ 📝 fill-patterns.md Markdown 148L · 9.9 KB
│ ├─ 📝 rolling-baseline.md Markdown 53L · 1.3 KB
│ ├─ 📝 section-order.md Markdown 83L · 2.1 KB
│ ├─ 📝 source-schema.md Markdown 154L · 3.6 KB
│ ├─ 📝 traffic-lights.md Markdown 145L · 5.8 KB
│ └─ 📝 workflow.md Markdown 234L · 7.2 KB
├─ 📁 scripts
│ ├─ 🐍 build_dual_report_artifacts.py Python 532L · 20.8 KB
│ ├─ 🐍 collect_bp_month_evidence.py Python 528L · 20.2 KB
│ ├─ 🐍 dump_bp_anchor_map.py Python 119L · 3.6 KB
│ ├─ 🐍 generate_scheme_v2_monthly_reports.py Python 856L · 37.5 KB
│ ├─ 🐍 render_chenshuting_march_scheme_reports.py Python 213L · 15.3 KB
│ └─ 🐍 render_fuzhongming_january_scheme_v2.py Python 360L · 20.8 KB
└─ 📝 SKILL.md Markdown 189L · 12.0 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
requests 未声明 pip No 使用requests库但无requirements.txt

Security Positives

✓ 无shell命令注入风险
✓ 无凭证收割或环境变量遍历行为
✓ 无敏感路径(~/.ssh, ~/.aws, .env)访问
✓ 无base64解码、eval、atob等危险函数
✓ API请求为内网域名,非可疑外部IP
✓ 文件操作限于工作目录内的报告生成