Scan Report
5 /100
inedo-otter
Inedo Otter integration — infrastructure automation for DevOps
纯文档型 Skill,无可执行代码,仅通过 Membrane 平台代理访问 Inedo Otter API,凭证由平台管理,不存在本地敏感操作。
Safe to install
无需阻止。可考虑在生产环境中对 Membrane 平台的连接行为进行日志审计。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | NONE | — | SKILL.md 无文件读写声明 |
| Network | READ | READ | ✓ Aligned | 通过 membrane request 代理访问 Inedo Otter API(只读/查询操作) |
| Shell | WRITE | WRITE | ✓ Aligned | npm install -g、membrane CLI 命令调用,均通过平台封装 |
| Environment | NONE | NONE | — | 无环境变量访问 |
| credential | NONE | NONE | — | 凭证由 Membrane 平台 OAuth 管理,不在本地存储 |
2 findings
Medium External URL 外部 URL
https://getmembrane.com SKILL.md:7 Medium External URL 外部 URL
https://inedo.com/support/documentation/otter SKILL.md:19 File Tree
1 files · 4.5 KB · 139 lines Markdown 1f · 139L
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
@membranehq/cli | latest | npm | No | 通过 npm install -g 安装,文档建议 latest 版本 |
Security Positives
✓ 纯文档型 Skill,无可执行代码,无从植入恶意逻辑
✓ 凭证管理完全委托给 Membrane 平台 OAuth 流,不在本地存储密钥
✓ 文档明确建议「Let Membrane handle credentials」,无钓鱼诱导
✓ 无 base64、eval、curl|bash 等高危模式
✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径
✓ 属于标准 DevOps 基础设施自动化工具,用途合理