Scan Report
5 /100
github-bounty-finder
GitHub 和 Algora 赏金扫描工具,带竞争分析和机会评分
GitHub Bounty Finder 是合法的赏金扫描工具,代码行为与声明功能一致,无恶意行为发现
Safe to install
可安全使用,建议定期更新依赖以获取安全补丁
Findings 1 items
| Severity | Finding | Location |
|---|---|---|
| Low | 依赖版本锁定宽松 | package.json:18 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Network | READ | READ | ✓ Aligned | src/scanner.js:52-68 访问 github.com 和 algora.io API |
| Environment | READ | READ | ✓ Aligned | bin/cli.js:17 读取 GITHUB_TOKEN 和 ALGORA_API_KEY |
| Filesystem | WRITE | WRITE | ✓ Aligned | bin/cli.js:149 用户触发时写入输出文件 |
6 findings
Medium External URL 外部 URL
https://img.shields.io/badge/version-1.0.0-blue.svg README.md:5 Medium External URL 外部 URL
https://img.shields.io/badge/license-MIT-green.svg README.md:6 Medium External URL 外部 URL
https://img.shields.io/badge/node-%3E%3D18.0.0-brightgreen.svg README.md:7 Medium External URL 外部 URL
https://algora.io/settings/api README.md:79 Medium External URL 外部 URL
https://api.algora.io/v1/bounties src/scanner.js:64 Info Email 邮箱地址
[email protected] README.md:248 File Tree
8 files · 32.4 KB · 1256 lines Markdown 3f · 663L
JavaScript 2f · 451L
JSON 3f · 142L
├─
▾
bin
│ └─
cli.js
JavaScript
├─
▾
src
│ └─
scanner.js
JavaScript
├─
_meta.json
JSON
├─
clawhub.json
JSON
├─
package.json
JSON
├─
README.md
Markdown
├─
RELEASE.md
Markdown
└─
SKILL.md
Markdown
Dependencies 5 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
axios | ^1.6.0 | npm | No | 主流 HTTP 库 |
chalk | ^4.1.2 | npm | No | 终端颜色输出 |
commander | ^11.1.0 | npm | No | CLI 框架 |
dotenv | ^16.3.1 | npm | No | 环境变量加载 |
node-fetch | ^2.7.0 | npm | No | 未使用(未实际导入) |
Security Positives
✓ 代码结构清晰,职责分离良好
✓ 无 shell 命令执行,仅使用标准 HTTP 请求
✓ 网络请求仅指向声明的合法 API 端点(GitHub、Algora)
✓ 凭证仅用于 API 认证,不外传
✓ 文件系统写入由用户主动触发(--output 参数)
✓ 无敏感路径访问(~/.ssh、~/.aws 等)
✓ 无 base64 解码、eval 等危险操作
✓ 使用流行的、受信任的 npm 包(axios、commander、chalk)