总安装量 10
评分人数 7
Skill Publisher 是专为 Claw/ClawdHub 技能开发者设计的发布前审计工具,旨在解决 Skill 开源发布过程中的安全隐患、文档缺失和代码质量问题。
核心用法
该 Skill 提供一套完整的 8 维度发布检查清单(STRUCTURE/SECURITY/PORTABILITY/QUALITY/DOCS/TESTING/GIT/METADATA),通过自动化脚本(audit.sh/fix.sh/publish.sh 等)对目标 Skill 进行深度体检。核心流程包括:扫描代码中的 API Key/密码等敏感信息(grep 正则匹配)、检测硬编码路径和用户名、验证 SKILL.md/README.md 文档完整性、检查 Git 历史是否误提交密钥、评估代码质量(TODO/FIXME 标记清理)等。用户可在终端直接运行提供的 bash 脚本,或参照详细的手动检查清单逐项验证。
显著优点
首先,检查维度全面,从文件结构到元数据覆盖 Skill 生命全周期,特别是安全审计模块提供了具体的 grep 命令示例,可直接检测 sk-/ghp- 等常见密钥格式。其次,自动化程度高,audit.sh 可一键完成结构/安全/可移植性/质量四项扫描,fix.sh 支持交互式自动修复常见问题。第三,安全设计完善,所有涉及文件修改(fix.sh)和 GitHub 发布(publish.sh)的操作均采用强制交互确认,避免误删或误推。第四,零依赖负担,纯 Bash 脚本实现,仅依赖系统标准工具(git/grep/sed/curl),无需 npm/pip 安装。最后,开源透明,MIT 许可证允许自由修改,代码完全可审计。
潜在缺点与局限性
作为 T3 级个人开发者(acastellana)维护的项目,社区背书相对较弱,长期维护稳定性需观察。功能上依赖 Unix/Linux 环境,Windows 用户需 WSL 或 Git Bash 支持。部分高级功能(如 validate-links.sh 的外部链接检查)需要显式启用 --external 标志,且 publish.sh 依赖用户已配置 gh CLI 和 Git 认证,对新手有一定门槛。此外,自动化修复(fix.sh)基于 sed 文本替换,复杂场景下可能误改,建议重要项目先备份。
适合的目标群体
主要面向 Claw/ClawdHub 技能开发者、开源项目维护者以及注重代码质量的自动化脚本开发者。特别适合需要频繁发布 Skills 到 GitHub 的技术团队,或希望建立标准化发布流程的个人开发者。对于企业内部分享的内部 Skill,该工具同样适用其安全扫描和文档规范检查功能。
使用风险
常规风险极低,所有脚本均为只读分析或交互式写入,无 rm -rf / 等破坏性命令。需注意的是:validate-links.sh 在启用 --external 时会通过 curl 访问外部 URL,存在网络足迹暴露风险;publish.sh 调用 GitHub API 进行发布,需确保 gh CLI 已安全认证;虽然脚本本身不收集数据,但 audit.sh 会扫描本地文件内容查找 secrets,建议在私密环境运行以防敏感路径被记录到 shell 历史。总体而言,这是经过 BSS A 级认证的安全工具,可放心用于生产环境 Skill 的发布前检查。
docs