bp-monthly-report-skill 安全扫描报告 — 可信 | ClawSafe

5 /100

bp-monthly-report-skill

从BP系统和进展报告生成月度报告的技能，支持目标-关键成果-举措卡片生成和交通灯评价

企业级BP报告生成工具，仅通过API获取工作汇报数据并生成结构化月报，无恶意行为发现。

技能名称bp-monthly-report-skill

分析耗时41.6s

引擎pi

✓

可以安装

可正常使用。外部API连接为企业内网域名的BP协同系统，属正常业务集成。

安全发现 3 项

严重性	安全发现	位置
低危	凭证管理未文档化脚本通过命令行参数 --app-key 接收API凭证，但SKILL.md未说明凭证来源、存储和使用方式 `headers={"appKey": app_key}` → 建议在文档中说明凭证管理规范（如环境变量注入方式）	`scripts/collect_bp_month_evidence.py:28`
低危	外部API域名硬编码 BASE_URL硬编码为 sg-al-cwork-web.mediportal.com.cn，虽为企业内网域名但缺乏灵活性 `BASE_URL = "https://sg-al-cwork-web.mediportal.com.cn/open-api"` → 建议通过环境变量或配置注入API地址	`scripts/collect_bp_month_evidence.py:23`
提示	模板渲染脚本含硬编码路径 render_chenshuting_march_scheme_reports.py 和 render_fuzhongming_january_scheme_v2.py 包含个人开发环境路径 `run_dir = Path("/Users/hou/Documents/UGit/BP- writer/...")` → 这些是示例/模板脚本，应改为参数化或移除	`scripts/render_chenshuting_march_scheme_reports.py:213`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	scripts/collect_bp_month_evidence.py:28 使用requests调用外部API
文件系统	`WRITE`	`WRITE`	✓ 一致	scripts/build_dual_report_artifacts.py:35-36 写YAML文件

1 项发现

🔗

中危外部 URL 外部 URL

https://sg-al-cwork-web.mediportal.com.cn/open-api

scripts/collect_bp_month_evidence.py:28

目录结构

19 文件 · 213.8 KB · 5623 行

Markdown 13f · 3015L Python 6f · 2608L

├─ ▾ 📁 assets

│ ├─ 📝 P001-T001-MONTH-TPL-01_月报模板_v1.md Markdown 124L · 3.0 KB

│ └─ 📝 人力资源中心_月报填写规范_组织示例_v1.md Markdown 187L · 4.9 KB

├─ ▾ 📁 references

│ ├─ 📝 artifact-layout.md Markdown 170L · 3.9 KB

│ ├─ 📝 bp-system.md Markdown 245L · 7.1 KB

│ ├─ 📝 business-description.zh-CN.md Markdown 473L · 14.2 KB

│ ├─ 📝 design-solution.zh-CN.md Markdown 810L · 20.5 KB

│ ├─ 📝 fill-patterns.md Markdown 148L · 9.9 KB

│ ├─ 📝 rolling-baseline.md Markdown 53L · 1.3 KB

│ ├─ 📝 section-order.md Markdown 83L · 2.1 KB

│ ├─ 📝 source-schema.md Markdown 154L · 3.6 KB

│ ├─ 📝 traffic-lights.md Markdown 145L · 5.8 KB

│ └─ 📝 workflow.md Markdown 234L · 7.2 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 build_dual_report_artifacts.py Python 532L · 20.8 KB

│ ├─ 🐍 collect_bp_month_evidence.py Python 528L · 20.2 KB

│ ├─ 🐍 dump_bp_anchor_map.py Python 119L · 3.6 KB

│ ├─ 🐍 generate_scheme_v2_monthly_reports.py Python 856L · 37.5 KB

│ ├─ 🐍 render_chenshuting_march_scheme_reports.py Python 213L · 15.3 KB

│ └─ 🐍 render_fuzhongming_january_scheme_v2.py Python 360L · 20.8 KB

└─ 📝 SKILL.md Markdown 189L · 12.0 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`requests`	`未声明`	pip	否	使用requests库但无requirements.txt

安全亮点

✓ 无shell命令注入风险

✓ 无凭证收割或环境变量遍历行为

✓ 无敏感路径(~/.ssh, ~/.aws, .env)访问

✓ 无base64解码、eval、atob等危险函数

✓ API请求为内网域名，非可疑外部IP

✓ 文件操作限于工作目录内的报告生成