Scan Report
0 /100
setup-unit-test
One-click initialization of an AI-driven unit testing environment for frontend projects (React/Vue/pure TypeScript/Next.js)
setup-unit-test 是一个功能完整、行为透明的合法前端测试环境初始化工具,所有声明的能力与实际代码一致,无任何恶意行为。
Safe to install
无需限制,可直接使用。该技能已明确声明其文件写入、shell 执行和 Git Hooks 操作,符合工具类 AI Agent 的正常行为模式。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | SKILL.md:31-32 声明写入 vitest.config.ts 和 .claude/commands/*.md;detect-framework.mj… |
| Shell | WRITE | WRITE | ✓ Aligned | SKILL.md:33 声明运行 npm/yarn/pnpm 和 git;detect-framework.mjs:28 execSync('git --ver… |
| Environment | NONE | NONE | — | 所有脚本均未读取或遍历 os.environ/process.env,无敏感信息访问 |
| Network | NONE | NONE | — | SKILL.md:36 明确声明'不会将项目数据传输到外部服务器';两个脚本均无任何网络请求 |
File Tree
5 files · 15.4 KB · 435 lines Markdown 3f · 238L
JavaScript 2f · 197L
├─
▾
references
│ ├─
fix-test-prompt.md
Markdown
│ └─
gen-unit-test-prompt.md
Markdown
├─
▾
scripts
│ ├─
check-missing-tests.mjs
JavaScript
│ └─
detect-framework.mjs
JavaScript
└─
SKILL.md
Markdown
Security Positives
✓ 文档明确声明不会外传数据,与代码行为一致
✓ check-missing-tests.mjs 有完整的输入验证(目录存在性、Git仓库检查)
✓ detect-framework.mjs 仅在 projectDir 内操作,无路径穿越风险
✓ 两个脚本均使用 child_process.execSync 而非 eval/spawn,降低了命令注入风险
✓ check-missing-tests.mjs 正确过滤了非业务源文件(test/spec/stories/d.ts/index.ts)
✓ 脚本不依赖外部包,无供应链风险
✓ 脚本不访问任何敏感路径(~/.ssh、~/.aws、.env等)
✓ Git 操作仅用于获取暂存文件列表,不涉及凭证或敏感信息