Name: GitHub Manager CLI Security Report — Trusted | ClawSafe
Item: GitHub Manager CLI
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

GitHub Manager CLI

GitHub 仓库管理工具 - PR审查、部署、Changelog生成、CI/CD配置、Issue管理、项目看板

GitHub Manager CLI 是一个合法的 GitHub 仓库管理工具，代码与文档描述完全一致，无恶意行为或阴影功能。

Skill NameGitHub Manager CLI

Duration46.6s

Enginepi

ClawHub AutoGitHub v1.0.0 by shiiyyo

📥 324 📦 1

ClawHub Verdict Suspicious dangerous_execdynamic_code_executionllm_suspiciousvt_suspicious

✓

Safe to install

该技能可安全使用。无需额外安全措施。

Findings 2 items

Severity	Finding	Location
Low	依赖版本锁定缺失 Supply Chain package.json 中 @octokit/rest 等依赖使用 ^ 范围而非精确版本，建议使用 --save-exact 或 lockfile 锁定 `"@octokit/rest": "^20.0.2"` → 建议使用 npm shrinkwrap 或 pnpm-lock.yaml 锁定依赖版本	`package.json:18`
Low	可选Webhook配置存在 Sensitive Access config-template.json 包含外部 webhook URL 字段（Slack/Discord/Telegram/Webhook），但仅配置模板、不自动激活 `"webhookUrl": "https://your-webhook-url.com/webhook"` → 确认 webhook URL 可信后再配置，保持默认禁用状态	`config-template.json:6`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	github-cli.js:28 配置文件读写
Network	`READ/WRITE`	`READ/WRITE`	✓ Aligned	github-cli.js:47 Octokit GitHub API调用
Shell	`READ`	`READ`	✓ Aligned	generate-changelog.js:29 execSync git log 仅用于读取提交历史

3 findings

🔗

Medium External URL 外部 URL

https://your-webhook-url.com

SKILL.md:191

🔗

Medium External URL 外部 URL

https://your-webhook-url.com/webhook

config-template.json:6

🔗

Medium External URL 外部 URL

https://staging.example.com/health

templates/github-actions/deploy-workflow.yml:141

File Tree

13 files · 89.9 KB · 3308 lines

JavaScript 4f · 1898L Markdown 3f · 659L YAML 4f · 597L JSON 2f · 154L

├─ ▾ 📁 .github

│ └─ ▾ 📁 workflows

│ ├─ 📋 ci.yml YAML 58L · 1.1 KB

│ └─ 📋 deploy.yml YAML 30L · 567 B

├─ ▾ 📁 scripts

│ ├─ 📜 code-review.js JavaScript 459L · 12.9 KB

│ ├─ 📜 generate-changelog.js JavaScript 338L · 9.2 KB

│ └─ 📜 project-manager.js JavaScript 536L · 17.3 KB

├─ ▾ 📁 templates

│ └─ ▾ 📁 github-actions

│ ├─ 📋 ci-workflow.yml YAML 212L · 5.4 KB

│ └─ 📋 deploy-workflow.yml YAML 297L · 8.9 KB

├─ 📋 config-template.json JSON 103L · 2.6 KB

├─ 📜 github-cli.js JavaScript 565L · 16.2 KB

├─ 📋 package.json JSON 51L · 1.3 KB

├─ 📝 README.md Markdown 161L · 5.3 KB

├─ 📝 SKILL_CN.md Markdown 249L · 4.7 KB

└─ 📝 SKILL.md Markdown 249L · 4.7 KB

Dependencies 4 items

Package	Version	Source	Known Vulns	Notes
`@octokit/rest`	`^20.0.2`	npm	No	官方 GitHub API 客户端
`commander`	`^11.0.0`	npm	No	CLI 参数解析
`chalk`	`^4.1.2`	npm	No	终端彩色输出
`inquirer`	`^8.2.6`	npm	No	交互式 CLI 提示

Security Positives

✓ 代码与 SKILL.md 文档描述完全一致，无阴影功能

✓ 仅使用官方 @octokit/rest 库进行 GitHub API 操作

✓ shell 执行仅限于 git log 等只读命令

✓ GitHub Token 存储于本地配置文件，不外传

✓ 无 base64 编码、eval()、反分析等混淆技术

✓ 无凭证收割、远程代码执行、数据外泄等恶意模式

✓ GitHub Actions 工作流模板符合标准安全实践

Scan Report

Findings 2 items

File Tree

Dependencies 4 items

Security Positives