中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
github-bounty-finder
GitHub 和 Algora 赏金扫描工具,带竞争分析和机会评分
GitHub Bounty Finder 是合法的赏金扫描工具,代码行为与声明功能一致,无恶意行为发现
技能名称github-bounty-finder
分析耗时27.2s
引擎pi
可以安装
可安全使用,建议定期更新依赖以获取安全补丁

安全发现 1 项

严重性 安全发现 位置
低危
依赖版本锁定宽松
package.json 中依赖使用 caret (^) 范围,允许自动小版本更新,存在供应链攻击风险
"axios": "^1.6.0"
→ 考虑使用精确版本或锁定文件(如 package-lock.json)确保可复现性
 package.json:18
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 src/scanner.js:52-68 访问 github.com 和 algora.io API
环境变量 READ READ ✓ 一致 bin/cli.js:17 读取 GITHUB_TOKEN 和 ALGORA_API_KEY
文件系统 WRITE WRITE ✓ 一致 bin/cli.js:149 用户触发时写入输出文件
6 项发现
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/version-1.0.0-blue.svg
README.md:5
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/license-MIT-green.svg
README.md:6
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/node-%3E%3D18.0.0-brightgreen.svg
README.md:7
🔗
中危 外部 URL 外部 URL
https://algora.io/settings/api
README.md:79
🔗
中危 外部 URL 外部 URL
https://api.algora.io/v1/bounties
src/scanner.js:64
📧
提示 邮箱 邮箱地址
[email protected]
README.md:248

目录结构

8 文件 · 32.4 KB · 1256 行
Markdown 3f · 663L JavaScript 2f · 451L JSON 3f · 142L
├─ 📁 bin
│ └─ 📜 cli.js JavaScript 172L · 6.5 KB
├─ 📁 src
│ └─ 📜 scanner.js JavaScript 279L · 7.8 KB
├─ 📋 _meta.json JSON 5L · 142 B
├─ 📋 clawhub.json JSON 103L · 2.5 KB
├─ 📋 package.json JSON 34L · 745 B
├─ 📝 README.md Markdown 263L · 6.1 KB
├─ 📝 RELEASE.md Markdown 195L · 4.2 KB
└─ 📝 SKILL.md Markdown 205L · 4.4 KB

依赖分析 5 项

包名版本来源已知漏洞备注
axios ^1.6.0 npm 主流 HTTP 库
chalk ^4.1.2 npm 终端颜色输出
commander ^11.1.0 npm CLI 框架
dotenv ^16.3.1 npm 环境变量加载
node-fetch ^2.7.0 npm 未使用(未实际导入)

安全亮点

✓ 代码结构清晰,职责分离良好
✓ 无 shell 命令执行,仅使用标准 HTTP 请求
✓ 网络请求仅指向声明的合法 API 端点(GitHub、Algora)
✓ 凭证仅用于 API 认证,不外传
✓ 文件系统写入由用户主动触发(--output 参数)
✓ 无敏感路径访问(~/.ssh、~/.aws 等)
✓ 无 base64 解码、eval 等危险操作
✓ 使用流行的、受信任的 npm 包(axios、commander、chalk)