skill-publisher-claw-skill

🚀 一站式 Skill 发布审计与标准化工具

社区开发者打造的 Skill 发布审计工具,提供 8 维度标准化检查(安全/可移植/文档/Git 等),自动化扫描 secrets 与硬编码路径,确保开源发布零风险。

收藏
11k
安装
2.6k
版本
v0.1.0
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

Skill Publisher 是专为 Claw/ClawdHub 技能开发者设计的发布前审计工具,旨在解决 Skill 开源发布过程中的安全隐患、文档缺失和代码质量问题。

核心用法

该 Skill 提供一套完整的 8 维度发布检查清单(STRUCTURE/SECURITY/PORTABILITY/QUALITY/DOCS/TESTING/GIT/METADATA),通过自动化脚本(audit.sh/fix.sh/publish.sh 等)对目标 Skill 进行深度体检。核心流程包括:扫描代码中的 API Key/密码等敏感信息(grep 正则匹配)、检测硬编码路径和用户名、验证 SKILL.md/README.md 文档完整性、检查 Git 历史是否误提交密钥、评估代码质量(TODO/FIXME 标记清理)等。用户可在终端直接运行提供的 bash 脚本,或参照详细的手动检查清单逐项验证。

显著优点

首先,检查维度全面,从文件结构到元数据覆盖 Skill 生命全周期,特别是安全审计模块提供了具体的 grep 命令示例,可直接检测 sk-/ghp- 等常见密钥格式。其次,自动化程度高,audit.sh 可一键完成结构/安全/可移植性/质量四项扫描,fix.sh 支持交互式自动修复常见问题。第三,安全设计完善,所有涉及文件修改(fix.sh)和 GitHub 发布(publish.sh)的操作均采用强制交互确认,避免误删或误推。第四,零依赖负担,纯 Bash 脚本实现,仅依赖系统标准工具(git/grep/sed/curl),无需 npm/pip 安装。最后,开源透明,MIT 许可证允许自由修改,代码完全可审计。

潜在缺点与局限性

作为 T3 级个人开发者(acastellana)维护的项目,社区背书相对较弱,长期维护稳定性需观察。功能上依赖 Unix/Linux 环境,Windows 用户需 WSL 或 Git Bash 支持。部分高级功能(如 validate-links.sh 的外部链接检查)需要显式启用 --external 标志,且 publish.sh 依赖用户已配置 gh CLI 和 Git 认证,对新手有一定门槛。此外,自动化修复(fix.sh)基于 sed 文本替换,复杂场景下可能误改,建议重要项目先备份。

适合的目标群体

主要面向 Claw/ClawdHub 技能开发者开源项目维护者以及注重代码质量的自动化脚本开发者。特别适合需要频繁发布 Skills 到 GitHub 的技术团队,或希望建立标准化发布流程的个人开发者。对于企业内部分享的内部 Skill,该工具同样适用其安全扫描和文档规范检查功能。

使用风险

常规风险极低,所有脚本均为只读分析或交互式写入,无 rm -rf / 等破坏性命令。需注意的是:validate-links.sh 在启用 --external 时会通过 curl 访问外部 URL,存在网络足迹暴露风险;publish.sh 调用 GitHub API 进行发布,需确保 gh CLI 已安全认证;虽然脚本本身不收集数据,但 audit.sh 会扫描本地文件内容查找 secrets,建议在私密环境运行以防敏感路径被记录到 shell 历史。总体而言,这是经过 BSS A 级认证的安全工具,可放心用于生产环境 Skill 的发布前检查。

安全解读

核心功能

Skill Publisher 是一款面向 Claw 技能开发者的发布前检查工具,提供从结构验证到 Git 清理的全流程审计能力。通过 8 大检查维度(结构、安全、可移植性、质量、文档、测试、Git、元数据),系统化识别技能发布前的潜在风险点。

显著优点

1. 安全审计全面:内置 grep 模式扫描 API 密钥、密码、令牌等敏感信息,覆盖 OpenAI、GitHub 等常见密钥前缀,同时检测个人身份信息(邮箱、电话、IP)
2. 可移植性保障:自动识别硬编码路径(/home/C:\ 等),推动使用相对路径和环境变量,确保技能跨机器可用

3. 标准化输出:强制要求 SKILL.md(机器入口)和 README.md(人类入口)双文档结构,统一技能格式规范

4. 自动化支持:提供 audit.sh 一键审计脚本,集成到 CI/CD 流程,降低人工检查成本

5. 修复能力fix.sh 支持自动修复常见问题(如替换硬编码路径、清理调试代码)

潜在局限

  • 检测工具依赖 grep:密钥扫描基于正则表达式,存在误报和漏报风险,无法替代专用工具(如 git-secrets、truffleHog)
  • Bash 跨平台问题:文件名使用反斜杠(templates\SKILL.template.md),在 Unix 系统可能解析异常
  • sed 转义不完善:自动修复时未充分处理特殊字符(&/),可能导致非预期替换
  • 无外部依赖管理:纯 Bash 实现虽零依赖,但缺乏现代包管理的版本锁定能力

适用人群

  • 技能开发者:准备将私有技能开源或提交至 ClawdHub 的开发者
  • 团队维护者:需建立技能发布标准的企业内部团队
  • 代码审查者:参与 Skill PR Review 的社区贡献者
  • DevOps 工程师:将 Skill 发布流程集成到 CI/CD 流水线

常规风险

| 风险项 | 等级 | 说明 |
|--------|------|------|
| 密钥扫描误报/漏报 | 中 | grep 模式无法识别加密存储的密钥或变体格式 |
| git filter-branch 误用 | 中 | 重写历史若操作不当可能破坏协作仓库 |
| 路径遍历攻击 | 低 | 脚本接收目录参数时缺乏严格验证 |
| sed 替换异常 | 低 | 特殊字符导致修复结果不可预期 |

安全认证: 综合评分 78/100(A 级),T2 可信来源,通过 GDPR/CCPA 合规检查,适合生产环境使用。

skill-publisher-claw-skill 内容

docs文件夹
templates文件夹
github-actions文件夹
手动下载zip · 32.3 kB
deprecation.mdtext/markdown
请选择文件