csv-documentation-generator Security Report — Low Risk | ClawSafe

15 /100

csv-documentation-generator

GXP行业计算机化系统验证文档生成工具，支持URS/FS/IQ/OQ/PQ等GxP文档生成

CSV文档生成技能是合法的GXP合规文档生成工具，代码结构清晰，无恶意行为发现，仅存在轻微的供应链风险（依赖无版本锁定）。

Skill Namecsv-documentation-generator

Duration68.5s

Enginepi

✓

Safe to install

可安全使用。建议在生产环境中锁定依赖版本（pip freeze），并验证虚拟环境创建行为符合预期。

Findings 2 items

Severity	Finding	Location
Low	依赖版本未锁定 Supply Chain requirements.txt 中的依赖使用范围版本（如 python-docx>=1.1.0），可能导致安装不稳定的依赖版本。 `python-docx>=1.1.0` → 建议使用 pip freeze 或 Poetry/pipenv 进行依赖锁定	`requirements.txt:1`
Low	自动创建虚拟环境 Priv Escalation 首次运行脚本时自动创建 .venv 虚拟环境并执行 pip install，已在 SKILL.md 中声明为 'Auto Environment Setup' 功能。 `venv.create(skill_root / '.venv', with_pip=True)` → 这是预期行为，无需修改	`scripts/generate.py:70`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:requiredTools 声明 write，generate.py:78 使用 subprocess 安装依赖
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:requiredTools 声明 exec，generate.py:78 执行 pip install
Network	`NONE`	`NONE`	—	无网络请求代码
Environment	`NONE`	`NONE`	—	无环境变量收割代码

5 findings

🔗

Medium External URL 外部 URL

https://semver.org/

CHANGELOG.md:321

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/version-1.6.4-blue.svg

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/GAMP-5%20Second%20Edition-green.svg

README.md:4

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/21%20CFR%20Part%2011-Compliant-orange.svg

README.md:5

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/status-beta-yellow.svg

README.md:6

File Tree

58 files · 486.5 KB · 14584 lines

Python 26f · 7998L Markdown 24f · 5916L JSON 4f · 365L YAML 2f · 216L Shell 1f · 85L Text 1f · 4L

├─ ▾ 📁 references

│ ├─ 📝 21cfr-part11.md Markdown 122L · 3.3 KB

│ ├─ 📝 annex-11.md Markdown 87L · 2.0 KB

│ ├─ 📝 data-integrity.md Markdown 169L · 3.9 KB

│ └─ 📝 gamp-5.md Markdown 147L · 4.7 KB

├─ ▾ 📁 scripts

│ ├─ ▾ 📁 audit

│ │ ├─ 🐍 __init__.py Python 5L · 134 B

│ │ └─ 🐍 log.py Python 240L · 7.7 KB

│ ├─ ▾ 📁 fill

│ │ ├─ 🐍 __init__.py Python 5L · 116 B

│ │ └─ 🐍 filler.py Python 235L · 8.9 KB

│ ├─ ▾ 📁 git-hooks

│ │ └─ 🔧 install.sh Shell 85L · 2.2 KB

│ ├─ ▾ 📁 requirements

│ │ ├─ 🐍 __init__.py Python 5L · 160 B

│ │ ├─ 🐍 linker.py Python 216L · 7.7 KB

│ │ ├─ 🐍 parser.py Python 657L · 20.4 KB

│ │ ├─ 🐍 risk_analyzer.py Python 470L · 15.9 KB

│ │ └─ 🐍 versioning.py Python 223L · 6.5 KB

│ ├─ ▾ 📁 tests

│ │ ├─ 🐍 __init__.py Python 5L · 149 B

│ │ ├─ 🐍 parser.py Python 344L · 11.5 KB

│ │ ├─ 🐍 test_bidirectional_sync.py Python 190L · 6.1 KB

│ │ ├─ 🐍 test_compliance_checker.py Python 234L · 7.8 KB

│ │ ├─ 🐍 test_core.py Python 290L · 8.8 KB

│ │ ├─ 🐍 test_git_hooks.py Python 122L · 3.5 KB

│ │ └─ 🐍 test_versioning.py Python 246L · 7.7 KB

│ ├─ 🐍 __init__.py Python 3L · 65 B

│ ├─ 🐍 agent.py Python 137L · 4.0 KB

│ ├─ 🐍 cli.py Python 593L · 19.3 KB

│ ├─ 🐍 compliance_checker.py Python 311L · 9.9 KB

│ ├─ 🐍 config.py Python 164L · 5.6 KB

│ ├─ 🐍 excel_generator.py Python 325L · 11.6 KB

│ ├─ 🐍 generate.py Python 1928L · 61.5 KB

│ ├─ 🐍 standards_reader.py Python 332L · 11.6 KB

│ ├─ 🐍 template_loader.py Python 155L · 5.3 KB

│ └─ 🐍 word_generator.py Python 563L · 20.7 KB

├─ ▾ 📁 standards

│ └─ 📋 code-annotations.json JSON 141L · 6.7 KB

├─ ▾ 📁 templates

│ ├─ ▾ 📁 ci

│ │ ├─ 📋 github-actions.yml YAML 124L · 3.3 KB

│ │ └─ 📋 gitlab-ci.yml YAML 92L · 2.1 KB

│ ├─ ▾ 📁 examples

│ │ ├─ 📝 fs-example.md Markdown 138L · 5.5 KB

│ │ ├─ 📝 iq-example.md Markdown 86L · 3.2 KB

│ │ ├─ 📝 ra-example.md Markdown 82L · 3.0 KB

│ │ └─ 📝 urs-example.md Markdown 136L · 8.3 KB

│ ├─ 📝 fs.md Markdown 198L · 5.7 KB

│ ├─ 📝 iq.md Markdown 148L · 4.9 KB

│ ├─ 📝 oq.md Markdown 281L · 16.4 KB

│ ├─ 📝 pq.md Markdown 328L · 11.3 KB

│ ├─ 📝 ra.md Markdown 220L · 7.1 KB

│ ├─ 📝 ts.md Markdown 255L · 7.1 KB

│ ├─ 📝 urs.md Markdown 215L · 7.7 KB

│ ├─ 📝 vp.md Markdown 159L · 5.1 KB

│ └─ 📝 vsr.md Markdown 275L · 8.1 KB

├─ 📋 .csv-docs-config.json JSON 72L · 1.6 KB

├─ 📋 audit-log.json JSON 63L · 1.4 KB

├─ 📝 CHANGELOG_en.md Markdown 308L · 12.1 KB

├─ 📝 CHANGELOG.md Markdown 324L · 11.9 KB

├─ 📝 prompts.md Markdown 381L · 11.7 KB

├─ 📝 README_en.md Markdown 446L · 14.9 KB

├─ 📝 README.md Markdown 393L · 13.2 KB

├─ 📋 requirements.json JSON 89L · 2.4 KB

├─ 📄 requirements.txt Text 4L · 72 B

├─ 📝 SKILL.md Markdown 838L · 27.2 KB

└─ 📝 STANDARDS.md Markdown 180L · 5.8 KB

Dependencies 4 items

Package	Version	Source	Known Vulns	Notes
`python-docx`	`>=1.1.0`	pip	No	无版本锁定
`openpyxl`	`>=3.1.0`	pip	No	无版本锁定
`jinja2`	`>=3.1.0`	pip	No	无版本锁定
`python-dateutil`	`>=2.8.0`	pip	No	无版本锁定

Security Positives

✓ 代码结构清晰，无混淆或恶意代码

✓ 所有 subprocess 调用仅用于合法的内置命令（git、pip）和虚拟环境管理

✓ 无凭证收割、敏感路径访问、数据外泄等恶意行为

✓ 文档声明与实际行为基本一致，无明显的阴影功能

✓ 具有完整的审计日志功能，符合GXP合规要求

Scan Report

Findings 2 items

File Tree

Dependencies 4 items

Security Positives