agentskillexchange/verification-security

GitHub: agentskillexchange/verification-security

Agent Skill Exchange 平台的验证与安全审查流程仓库,提供技能提交的审查标准、安全评估指南和自动化扫描工具。

Stars: 2 | Forks: 0

# Agent Skill Exchange 验证与安全 [![市场](https://img.shields.io/badge/Marketplace-AgentSkillExchange.com-6366f1)](https://agentskillexchange.com) [![主目录](https://img.shields.io/badge/Primary%20Catalog-agentskillexchange%2Fskills-blue)](https://github.com/agentskillexchange/skills) [![许可证](https://img.shields.io/badge/License-MIT-green)](LICENSE) ## 本仓库是什么 本仓库记录了 Agent Skill Exchange 如何审查 skill 提交、评估安全风险,并保持其公开信任术语的一致性。 它被刻意设计为一个流程仓库。主目录、skill 源文件、生成的索引以及日常市场数据存放在 [`agentskillexchange/skills`](https://github.com/agentskillexchange/skills) 中。 请将此仓库用于: - 验证和安全审查标准 - 审查人员清单和威胁模型指南 - Skill 质量标准 - 提交模板和自我审查指南 - 人工审查前使用的轻量级扫描工具 请勿将此仓库作为权威的 skill 目录。对于市场内容,请链接到 `skills` 仓库。 ## 信任标签 Agent Skill Exchange 使用两种公开的信任标签: | 标签 | 含义 | |-------|---------| | **Published** | 该 skill 已在目录中列出,并通过了基本的发布检查。 | | **Security Reviewed** | 该 skill 已通过针对作用域、数据处理、prompt 注入风险和破坏性操作的额外安全审查。 | 对于面向公众的文档和 UI,应将诸如 `listed` 或 `verified_metadata` 等较旧的内部术语映射为 **Published**。 ## 仓库结构 ``` / ├── verification/ │ └── checklist.md # Publishing and security-review checklist │ ├── security/ │ ├── review-guide.md # How to conduct a security review │ ├── reviewer-quickstart.md # 10-minute reviewer triage guide │ ├── trust-label-lifecycle.md # Trust label assignment and downgrade rules │ ├── threat-model.md # Threat model for agent skills │ └── tools/ │ └── scan.sh # Basic automated scan script │ ├── examples/ │ ├── review-patterns.md # Safe and risky SKILL.md review patterns │ └── risky-patterns.md # Risky pattern decisions and safeguards │ ├── standards/ │ ├── skill-spec.md # AgentSkill specification │ └── categories.md # Skill category taxonomy │ ├── submission/ │ └── SKILL_TEMPLATE.md # Standard SKILL.md template │ └── CONTRIBUTING.md ``` ## 快速开始 在提交或更新 skill 之前,请先进行自我审查: ``` git clone https://github.com/agentskillexchange/verification-security.git cd verification-security cat verification/checklist.md ./security/tools/scan.sh --help ./security/tools/scan.sh /path/to/your/SKILL.md ``` 扫描器仅作为初步检查。扫描结果干净并不能保证 skill 是安全的;它只是帮助审查人员在深入审查之前发现明显的问题。退出代码 `0` 表示未发现任何问题,`1` 表示有需要审查的警告或失败,`2` 表示缺少命令或无法读取目标文件。 审查人员可以从 10 分钟的 [`审查人员快速入门`](security/reviewer-quickstart.md) 开始,对比 [`审查模式`](examples/review-patterns.md),然后使用完整的 [`安全审查指南`](security/review-guide.md)、[`验证清单`](verification/checklist.md) 和 [`信任标签生命周期`](security/trust-label-lifecycle.md) 来做出最终决定。 ## 找到正确的审查路径 | 如果你是... | 从这里开始 | 然后使用 | |---------------|------------|----------| | 提交或更新 skill | [`submission/SKILL_TEMPLATE.md`](submission/SKILL_TEMPLATE.md) | [`verification/checklist.md`](verification/checklist.md) 和 `./security/tools/scan.sh /path/to/SKILL.md` | | 进行快速的审查人员分流 | [`security/reviewer-quickstart.md`](security/reviewer-quickstart.md) | [`examples/review-patterns.md`](examples/review-patterns.md) 了解安全/有风险的代码片段,以及 [`examples/risky-patterns.md`](examples/risky-patterns.md) 获取决策指南 | | 做出 Security Reviewed 决定 | [`security/review-guide.md`](security/review-guide.md) | [`security/trust-label-lifecycle.md`](security/trust-label-lifecycle.md) 了解标签证据和降级规则 | | 检查扫描器行为 | `./security/tools/scan.sh --help` | [`security/tools/test_scan.sh`](security/tools/test_scan.sh) 和 [`examples/scanner-fixtures/risky-skill.md`](examples/scanner-fixtures/risky-skill.md) 了解预期的风险输出覆盖率 | ## 提交 Skills 请在主目录仓库中提交和维护 skill 内容: 请将 [`submission/SKILL_TEMPLATE.md`](submission/SKILL_TEMPLATE.md) 作为起点,并在提交目录 PR 之前使用 [`verification/checklist.md`](verification/checklist.md)。 ## 许可证 MIT。
标签:Cutter, 合规策略, 安全审查, 应用商店, 社区规范, 网络安全研究, 防御加固