中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
shuzhi-open
数秦开放平台统一接口封装,支持区块链API服务、自动化取证、保管单组件、电子签章
数秦开放平台 API 封装库,用于区块链存证、自动化取证、保管单和电子签章服务,代码安全合规,无恶意行为。
Skill Nameshuzhi-open
Duration47.4s
Enginepi
Safe to install
可直接使用。凭证存储在 config.json 中,建议用户仅在可信环境部署。

Findings 2 items

Severity Finding Location
Low
文件系统权限未声明
代码读取本地 config.json 配置文件和合同文件,但 SKILL.md 中未明确声明 filesystem:READ 权限
const config = require(configPath);
→ 建议在 SKILL.md 中声明读取本地配置文件的能力
 lib/client.js:1
Info
MD5 回调验签
回调验签模块使用 MD5 算法,这是与外部 API 通信的标准方式,无安全风险
crypto.createHash('md5').update(str).digest('hex')
→ 已知晓,这是 API 回调验证的标准做法
 lib/callback.js:28
ResourceDeclaredInferredStatusEvidence
Filesystem NONE READ ✓ Aligned lib/client.js:1 读取config.json; scripts/sign/workflow.js:1 读取合同文件
Network WRITE WRITE ✓ Aligned lib/client.js:66 使用fetch向API发送POST请求
Shell NONE NONE 代码中无subprocess/exec/spawn调用
3 findings
🔗
Medium External URL 外部 URL
https://mobile.yangkeduo.com/goods.html?goods_id=xxx
SKILL.md:153
🔗
Medium External URL 外部 URL
https://test-apisix-gateway.shuzhi.shuqinkeji.cn
config.json:2
🔗
Medium External URL 外部 URL
https://api.dataqin.com
references/certificate-api.md:7

File Tree

32 files · 141.7 KB · 5212 lines
JavaScript 24f · 3387L Markdown 5f · 1674L JSON 3f · 151L
├─ 📁 lib
│ ├─ 📁 modules
│ │ ├─ 📜 certificate.js JavaScript 84L · 1.9 KB
│ │ ├─ 📜 chain.js JavaScript 139L · 3.9 KB
│ │ ├─ 📜 evidence.js JavaScript 193L · 4.8 KB
│ │ └─ 📜 sign.js JavaScript 444L · 13.0 KB
│ ├─ 📜 auth.js JavaScript 82L · 2.4 KB
│ ├─ 📜 callback.js JavaScript 86L · 2.2 KB
│ ├─ 📜 client.js JavaScript 174L · 4.3 KB
│ └─ 📜 validate.js JavaScript 162L · 4.9 KB
├─ 📁 references
│ ├─ 📝 certificate-api.md Markdown 83L · 1.9 KB
│ ├─ 📝 chain-api.md Markdown 215L · 5.3 KB
│ ├─ 📝 evidence-api.md Markdown 174L · 3.6 KB
│ └─ 📝 sign-api.md Markdown 253L · 5.3 KB
├─ 📁 scripts
│ ├─ 📁 certificate
│ │ ├─ 📜 create.js JavaScript 68L · 1.7 KB
│ │ ├─ 📜 download.js JavaScript 56L · 1.3 KB
│ │ ├─ 📜 generate-interactive.js JavaScript 248L · 8.5 KB
│ │ ├─ 📜 generate.js JavaScript 104L · 3.3 KB
│ │ └─ 📜 templates.js JavaScript 26L · 732 B
│ ├─ 📁 chain
│ │ ├─ 📜 query.js JavaScript 74L · 1.9 KB
│ │ └─ 📜 upload.js JavaScript 88L · 2.3 KB
│ ├─ 📁 evidence
│ │ ├─ 📜 create-task-interactive.js JavaScript 144L · 4.5 KB
│ │ ├─ 📜 create-task.js JavaScript 101L · 2.8 KB
│ │ ├─ 📜 device.js JavaScript 83L · 2.2 KB
│ │ ├─ 📜 download.js JavaScript 59L · 1.4 KB
│ │ └─ 📜 query.js JavaScript 64L · 1.8 KB
│ └─ 📁 sign
│ ├─ 📜 enterprise.js JavaScript 87L · 2.9 KB
│ ├─ 📜 person.js JavaScript 87L · 2.8 KB
│ ├─ 📜 sign-flow.js JavaScript 196L · 6.1 KB
│ └─ 📜 workflow.js JavaScript 538L · 16.1 KB
├─ 📋 _meta.json JSON 5L · 130 B
├─ 🔑 config.json JSON 117L · 3.8 KB
├─ 📋 package.json JSON 29L · 948 B
└─ 📝 SKILL.md Markdown 949L · 23.1 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
node-fetch 未检测到(使用原生fetch) Node.js 18+ built-in No 使用 Node.js 原生 fetch API

Security Positives

✓ 使用 HMAC-SHA256 进行请求签名,凭证不外泄
✓ 交互式脚本强调用户确认,防止自动填充敏感信息
✓ 良好的错误处理和输入验证
✓ 代码结构清晰,模块化设计
✓ 无 eval、exec、spawn 等危险函数调用
✓ 无远程脚本下载和执行行为
✓ 无凭证收割或数据外泄行为