Skip to content

Security: Minecraft269/skills

Security

SECURITY.md

安全策略

支持的版本

版本 支持状态
1.0.x 当前版本,提供安全更新
< 1.0 开发版,不提供安全更新

报告漏洞

如果你发现了安全漏洞,请不要在公开 Issue 中提交

请使用 GitHub Security Advisory 私下报告。项目维护者会在可用的维护窗口内尽快处理。

安全最佳实践

本项目的技能脚本遵循以下安全原则:

  • 所有 Shell 脚本对用户输入进行参数验证和正则过滤
  • 外部命令调用使用 -- 分隔符防止选项注入
  • JSON 处理使用 jq --arg 而非字符串拼接
  • MCP Server 配置中的敏感信息(API Key、Token)通过环境变量注入,不硬编码
  • 安装脚本不执行来自不可信来源的代码

依赖安全

  • 所有脚本依赖的工具(ghjqgitclaude)均为用户显式安装
  • 不引入额外的 npm/pip 包依赖
  • 每个技能的 frontmatter 中声明了最低版本要求

报告安全问题

如果你在以下方面发现安全问题,请报告:

  • 命令注入(Shell 脚本中未过滤的用户输入)
  • 敏感信息泄露(API Key、Token 等)
  • 权限提升
  • 任意代码执行
  • 配置文件篡改

感谢你帮助提升 Minecraft269-skills 的安全性!

There aren't any published security advisories