Name: GitHub Manager CLI 安全扫描报告 — 可信 | ClawSafe
Item: GitHub Manager CLI
Rating: 95
Author: ClawSafe

5 /100

GitHub Manager CLI

GitHub 仓库管理工具 - PR审查、部署、Changelog生成、CI/CD配置、Issue管理、项目看板

GitHub Manager CLI 是一个合法的 GitHub 仓库管理工具，代码与文档描述完全一致，无恶意行为或阴影功能。

技能名称GitHub Manager CLI

分析耗时46.6s

引擎pi

ClawHub AutoGitHub v1.0.0 by shiiyyo

📥 324 📦 1

ClawHub 判定可疑 dangerous_execdynamic_code_executionllm_suspiciousvt_suspicious

✓

可以安装

该技能可安全使用。无需额外安全措施。

安全发现 2 项

严重性	安全发现	位置
低危	依赖版本锁定缺失供应链 package.json 中 @octokit/rest 等依赖使用 ^ 范围而非精确版本，建议使用 --save-exact 或 lockfile 锁定 `"@octokit/rest": "^20.0.2"` → 建议使用 npm shrinkwrap 或 pnpm-lock.yaml 锁定依赖版本	`package.json:18`
低危	可选Webhook配置存在敏感访问 config-template.json 包含外部 webhook URL 字段（Slack/Discord/Telegram/Webhook），但仅配置模板、不自动激活 `"webhookUrl": "https://your-webhook-url.com/webhook"` → 确认 webhook URL 可信后再配置，保持默认禁用状态	`config-template.json:6`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	github-cli.js:28 配置文件读写
网络访问	`READ/WRITE`	`READ/WRITE`	✓ 一致	github-cli.js:47 Octokit GitHub API调用
命令执行	`READ`	`READ`	✓ 一致	generate-changelog.js:29 execSync git log 仅用于读取提交历史

3 项发现

🔗

中危外部 URL 外部 URL

https://your-webhook-url.com

SKILL.md:191

🔗

中危外部 URL 外部 URL

https://your-webhook-url.com/webhook

config-template.json:6

🔗

中危外部 URL 外部 URL

https://staging.example.com/health

templates/github-actions/deploy-workflow.yml:141

目录结构

13 文件 · 89.9 KB · 3308 行

JavaScript 4f · 1898L Markdown 3f · 659L YAML 4f · 597L JSON 2f · 154L

├─ ▾ 📁 .github

│ └─ ▾ 📁 workflows

│ ├─ 📋 ci.yml YAML 58L · 1.1 KB

│ └─ 📋 deploy.yml YAML 30L · 567 B

├─ ▾ 📁 scripts

│ ├─ 📜 code-review.js JavaScript 459L · 12.9 KB

│ ├─ 📜 generate-changelog.js JavaScript 338L · 9.2 KB

│ └─ 📜 project-manager.js JavaScript 536L · 17.3 KB

├─ ▾ 📁 templates

│ └─ ▾ 📁 github-actions

│ ├─ 📋 ci-workflow.yml YAML 212L · 5.4 KB

│ └─ 📋 deploy-workflow.yml YAML 297L · 8.9 KB

├─ 📋 config-template.json JSON 103L · 2.6 KB

├─ 📜 github-cli.js JavaScript 565L · 16.2 KB

├─ 📋 package.json JSON 51L · 1.3 KB

├─ 📝 README.md Markdown 161L · 5.3 KB

├─ 📝 SKILL_CN.md Markdown 249L · 4.7 KB

└─ 📝 SKILL.md Markdown 249L · 4.7 KB

依赖分析 4 项

包名	版本	来源	已知漏洞	备注
`@octokit/rest`	`^20.0.2`	npm	否	官方 GitHub API 客户端
`commander`	`^11.0.0`	npm	否	CLI 参数解析
`chalk`	`^4.1.2`	npm	否	终端彩色输出
`inquirer`	`^8.2.6`	npm	否	交互式 CLI 提示

安全亮点

✓ 代码与 SKILL.md 文档描述完全一致，无阴影功能

✓ 仅使用官方 @octokit/rest 库进行 GitHub API 操作

✓ shell 执行仅限于 git log 等只读命令

✓ GitHub Token 存储于本地配置文件，不外传

✓ 无 base64 编码、eval()、反分析等混淆技术

✓ 无凭证收割、远程代码执行、数据外泄等恶意模式

✓ GitHub Actions 工作流模板符合标准安全实践