agentskillexchange/verification-security
GitHub: agentskillexchange/verification-security
Agent Skill Exchange 平台的验证与安全审查流程仓库,提供技能提交的审查标准、安全评估指南和自动化扫描工具。
Stars: 2 | Forks: 0
# Agent Skill Exchange 验证与安全
[](https://agentskillexchange.com)
[](https://github.com/agentskillexchange/skills)
[](LICENSE)
## 本仓库是什么
本仓库记录了 Agent Skill Exchange 如何审查 skill 提交、评估安全风险,并保持其公开信任术语的一致性。
它被刻意设计为一个流程仓库。主目录、skill 源文件、生成的索引以及日常市场数据存放在 [`agentskillexchange/skills`](https://github.com/agentskillexchange/skills) 中。
请将此仓库用于:
- 验证和安全审查标准
- 审查人员清单和威胁模型指南
- Skill 质量标准
- 提交模板和自我审查指南
- 人工审查前使用的轻量级扫描工具
请勿将此仓库作为权威的 skill 目录。对于市场内容,请链接到 `skills` 仓库。
## 信任标签
Agent Skill Exchange 使用两种公开的信任标签:
| 标签 | 含义 |
|-------|---------|
| **Published** | 该 skill 已在目录中列出,并通过了基本的发布检查。 |
| **Security Reviewed** | 该 skill 已通过针对作用域、数据处理、prompt 注入风险和破坏性操作的额外安全审查。 |
对于面向公众的文档和 UI,应将诸如 `listed` 或 `verified_metadata` 等较旧的内部术语映射为 **Published**。
## 仓库结构
```
/
├── verification/
│ └── checklist.md # Publishing and security-review checklist
│
├── security/
│ ├── review-guide.md # How to conduct a security review
│ ├── reviewer-quickstart.md # 10-minute reviewer triage guide
│ ├── trust-label-lifecycle.md # Trust label assignment and downgrade rules
│ ├── threat-model.md # Threat model for agent skills
│ └── tools/
│ └── scan.sh # Basic automated scan script
│
├── examples/
│ ├── review-patterns.md # Safe and risky SKILL.md review patterns
│ └── risky-patterns.md # Risky pattern decisions and safeguards
│
├── standards/
│ ├── skill-spec.md # AgentSkill specification
│ └── categories.md # Skill category taxonomy
│
├── submission/
│ └── SKILL_TEMPLATE.md # Standard SKILL.md template
│
└── CONTRIBUTING.md
```
## 快速开始
在提交或更新 skill 之前,请先进行自我审查:
```
git clone https://github.com/agentskillexchange/verification-security.git
cd verification-security
cat verification/checklist.md
./security/tools/scan.sh --help
./security/tools/scan.sh /path/to/your/SKILL.md
```
扫描器仅作为初步检查。扫描结果干净并不能保证 skill 是安全的;它只是帮助审查人员在深入审查之前发现明显的问题。退出代码 `0` 表示未发现任何问题,`1` 表示有需要审查的警告或失败,`2` 表示缺少命令或无法读取目标文件。
审查人员可以从 10 分钟的 [`审查人员快速入门`](security/reviewer-quickstart.md) 开始,对比 [`审查模式`](examples/review-patterns.md),然后使用完整的 [`安全审查指南`](security/review-guide.md)、[`验证清单`](verification/checklist.md) 和 [`信任标签生命周期`](security/trust-label-lifecycle.md) 来做出最终决定。
## 找到正确的审查路径
| 如果你是... | 从这里开始 | 然后使用 |
|---------------|------------|----------|
| 提交或更新 skill | [`submission/SKILL_TEMPLATE.md`](submission/SKILL_TEMPLATE.md) | [`verification/checklist.md`](verification/checklist.md) 和 `./security/tools/scan.sh /path/to/SKILL.md` |
| 进行快速的审查人员分流 | [`security/reviewer-quickstart.md`](security/reviewer-quickstart.md) | [`examples/review-patterns.md`](examples/review-patterns.md) 了解安全/有风险的代码片段,以及 [`examples/risky-patterns.md`](examples/risky-patterns.md) 获取决策指南 |
| 做出 Security Reviewed 决定 | [`security/review-guide.md`](security/review-guide.md) | [`security/trust-label-lifecycle.md`](security/trust-label-lifecycle.md) 了解标签证据和降级规则 |
| 检查扫描器行为 | `./security/tools/scan.sh --help` | [`security/tools/test_scan.sh`](security/tools/test_scan.sh) 和 [`examples/scanner-fixtures/risky-skill.md`](examples/scanner-fixtures/risky-skill.md) 了解预期的风险输出覆盖率 |
## 提交 Skills
请在主目录仓库中提交和维护 skill 内容:
请将 [`submission/SKILL_TEMPLATE.md`](submission/SKILL_TEMPLATE.md) 作为起点,并在提交目录 PR 之前使用 [`verification/checklist.md`](verification/checklist.md)。
## 许可证
MIT。
标签:Cutter, 合规策略, 安全审查, 应用商店, 社区规范, 网络安全研究, 防御加固