| 版本 | 支持状态 |
|---|---|
| 1.0.x | 当前版本,提供安全更新 |
| < 1.0 | 开发版,不提供安全更新 |
如果你发现了安全漏洞,请不要在公开 Issue 中提交。
请使用 GitHub Security Advisory 私下报告。项目维护者会在可用的维护窗口内尽快处理。
本项目的技能脚本遵循以下安全原则:
- 所有 Shell 脚本对用户输入进行参数验证和正则过滤
- 外部命令调用使用
--分隔符防止选项注入 - JSON 处理使用
jq --arg而非字符串拼接 - MCP Server 配置中的敏感信息(API Key、Token)通过环境变量注入,不硬编码
- 安装脚本不执行来自不可信来源的代码
- 所有脚本依赖的工具(
gh、jq、git、claude)均为用户显式安装 - 不引入额外的 npm/pip 包依赖
- 每个技能的 frontmatter 中声明了最低版本要求
如果你在以下方面发现安全问题,请报告:
- 命令注入(Shell 脚本中未过滤的用户输入)
- 敏感信息泄露(API Key、Token 等)
- 权限提升
- 任意代码执行
- 配置文件篡改
感谢你帮助提升 Minecraft269-skills 的安全性!