扫描报告
5 /100
inedo-otter
Inedo Otter integration — infrastructure automation for DevOps
纯文档型 Skill,无可执行代码,仅通过 Membrane 平台代理访问 Inedo Otter API,凭证由平台管理,不存在本地敏感操作。
可以安装
无需阻止。可考虑在生产环境中对 Membrane 平台的连接行为进行日志审计。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | NONE | — | SKILL.md 无文件读写声明 |
| 网络访问 | READ | READ | ✓ 一致 | 通过 membrane request 代理访问 Inedo Otter API(只读/查询操作) |
| 命令执行 | WRITE | WRITE | ✓ 一致 | npm install -g、membrane CLI 命令调用,均通过平台封装 |
| 环境变量 | NONE | NONE | — | 无环境变量访问 |
| 凭证 | NONE | NONE | — | 凭证由 Membrane 平台 OAuth 管理,不在本地存储 |
2 项发现
中危 外部 URL 外部 URL
https://getmembrane.com SKILL.md:7 中危 外部 URL 外部 URL
https://inedo.com/support/documentation/otter SKILL.md:19 目录结构
1 文件 · 4.5 KB · 139 行 Markdown 1f · 139L
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
@membranehq/cli | latest | npm | 否 | 通过 npm install -g 安装,文档建议 latest 版本 |
安全亮点
✓ 纯文档型 Skill,无可执行代码,无从植入恶意逻辑
✓ 凭证管理完全委托给 Membrane 平台 OAuth 流,不在本地存储密钥
✓ 文档明确建议「Let Membrane handle credentials」,无钓鱼诱导
✓ 无 base64、eval、curl|bash 等高危模式
✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径
✓ 属于标准 DevOps 基础设施自动化工具,用途合理