扫描报告
0 /100
Code Audit & Security Scan
代码安全审计服务,运行 bandit/flake8/eslint 进行静态分析
这是一个合法的代码审计服务技能,声明与实际行为一致,使用标准静态分析工具(bandit/flake8/eslint)进行审计,有完善的沙箱和清理机制,无恶意行为。
可以安装
可直接使用。该技能执行标准安全审计,无未声明行为,无凭证访问,无数据外传。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | WRITE | ✓ 一致 | 临时文件写入 /tmp/audit-${jobId}/,符合审计工具需求 |
| 命令执行 | NONE | READ | ✓ 一致 | 执行 bandit/flake8/eslint 进行代码审计 |
| 网络访问 | NONE | NONE | — | 无网络外传行为,仅处理本地审计请求 |
6 项发现
中危 外部 URL 外部 URL
https://paulmillr.com/funding/ package-lock.json:31 中危 外部 URL 外部 URL
https://www.buymeacoffee.com/ricmoo package-lock.json:477 中危 外部 URL 外部 URL
https://opencollective.com/express package-lock.json:570 中危 外部 URL 外部 URL
https://opencollective.com/fastify package-lock.json:590 中危 外部 URL 外部 URL
https://www.patreon.com/feross package-lock.json:1045 中危 外部 URL 外部 URL
https://feross.org/support package-lock.json:1049 目录结构
4 文件 · 55.4 KB · 1645 行 JSON 2f · 1400L
JavaScript 1f · 193L
Markdown 1f · 52L
├─
package-lock.json
JSON
├─
package.json
JSON
├─
server.js
JavaScript
└─
skill.md
Markdown
依赖分析 2 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
express | ^4.21.0 | npm | 否 | 主流 Web 框架,无已知漏洞影响此用例 |
@x402/express | ^2.8.0 | npm | 否 | 支付协议集成 |
安全亮点
✓ 使用临时目录隔离用户代码,沙箱化执行
✓ 审计完成后立即清理临时文件和目录
✓ 代码长度限制 50KB,防止资源耗尽
✓ execSync 设置超时(10-15s),防止挂起
✓ 无凭证收割、无敏感路径访问、无数据外传
✓ 声明功能与实际实现完全一致,无阴影功能