Houseofmvps/ultraship
GitHub: Houseofmvps/ultraship
集成 39 项技能与 33 款审计工具的 Claude Code 插件,提供从规划到部署的全流程自动化质检与安全防护。
Stars: 20 | Forks: 2
### Claude Code 插件。包含 39 项用于构建、发布和扩展生产级软件的专家级技能。33 项审计工具(安全、渗透测试、代码质量、包大小、SEO + AI 就绪度检查)在部署前闭环。
[](https://www.npmjs.com/package/ultraship)
[](https://www.npmjs.com/package/ultraship)
[](https://www.npmjs.com/package/ultraship)
[](https://github.com/Houseofmvps/ultraship/stargazers)
[](LICENSE)
[](https://github.com/Houseofmvps/ultraship/actions)
[](https://github.com/sponsors/Houseofmvps)
**由 [Kaileskkhumar](https://www.linkedin.com/in/kailesk-khumar-soundararajan),[houseofmvps.com](https://houseofmvps.com) 独立创始人构建**
```
1 dependency (htmlparser2) · 180 tests · Node.js ESM · MIT
```
## 安装
```
# Claude Code 插件
claude plugin marketplace add Houseofmvps/ultraship
claude plugin install ultraship
# 或通过 npx 独立运行
npx ultraship ship .
npx ultraship seo .
npx ultraship security .
```
## 它的功能
`/ship` 并行运行 5 个工具并输出一份计分卡:
```
+===========================================+
| U L T R A S H I P S C O R E |
+===========================================+
| SEO + AI Vis. 92/100 ############- |
| Security 95/100 ############- |
| Code Quality 88/100 ###########-- |
| Bundle Size 97/100 ############- |
+===========================================+
| OVERALL 90/100 |
| STATUS READY TO SHIP |
+===========================================+
```
演示
## 工具 (36)
每个工具都是一个独立的 Node.js 脚本 (`node tools/
.mjs`)。输出 JSON 格式。始终以退出码 0 结束。无需构建步骤。
### 审计
| 工具 | 检查内容 |
|---|---|
| `seo-scanner` | 63 条规则:39 条 SEO (meta 标签,canonical,标题,OG 标签,结构化数据,站点地图,跨页面重复/孤立页面检测),20 条 GEO (robots.txt 中的 AI 机器人访问权限,代码片段限制,llms.txt,用于 AI 提取的结构化数据),4 条 AEO (FAQPage/HowTo/speakable schema) |
| `secret-scanner` | AWS 密钥,Stripe 密钥,JWT 密钥,数据库 URL,私钥。在输出中隐去具体值。 |
| `code-profiler` | N+1 查询,处理程序中的同步 I/O,无限制查询,缺少索引,内存泄漏,顺序 awaits,ReDoS 风险 |
| `bundle-tracker` | 构建输出中的 JS/CSS/图片大小。检测重度依赖 (`moment`→`dayjs`,`lodash`→原生)。提供用于前后对比的历史记录。感知 Monorepo。 |
| `dep-doctor` | 通过导入图分析查找未使用的依赖 (不仅是 grep)。无效的包装文件。过时的包。 |
| `content-scorer` | Flesch-Kincaid 可读性,关键词密度,薄弱内容检测,GEO 标题分析 |
| `lighthouse-runner` | 通过 headless Chrome 运行 Lighthouse。核心 Web 指标,阻塞渲染的资源,诊断信息。 |
### 验证
| 工具 | 检查内容 |
|---|---|
| `health-check` | HTTP 状态,响应时间,SSL 证书 (颁发者,有效期),6 个安全响应头 |
| `env-validator` | 将 `.env.example` 与实际的 `.env` 进行比较。捕获缺失/空值/占位符变量。 |
| `migration-checker` | 检查 Drizzle,Prisma,Knex 待处理的数据库迁移 |
| `og-validator` | Open Graph 标签,图片可访问性,大小验证 |
| `redirect-checker` | 重定向链,循环,HTTP/HTTPS 混用。基于站点地图的批量检查。 |
| `api-smoke-test` | 请求 API 端点,检查状态码,响应时间,CORS 响应头 |
### 生成器
| 工具 | 创建内容 |
|---|---|
| `sitemap-generator` | 从 HTML 文件和路由生成 `sitemap.xml` |
| `robots-generator` | 对 AI 友好的 `robots.txt` (允许 GPTBot,PerplexityBot,ClaudeBot) |
| `llms-txt-generator` | 用于 AI 助手发现能力的 `llms.txt` |
| `structured-data-generator` | JSON-LD schema 标记 |
### 竞品与发布
| 工具 | 功能 |
|---|---|
| `compete-analyzer` | 比较两个 URL:技术栈,SEO 得分,安全响应头,响应时间。ASCII 比较卡片。 |
| `launch-prep` | 读取项目,生成 PH/Twitter/LinkedIn/HN 文案,14 项清单,新闻资料包 |
| `demo-prep` | 查找 console.logs,TODOs,占位符文本,缺失的网站图标。评估演示就绪程度。 |
### 运维
| 工具 | 功能 |
|---|---|
| `incident-commander` | 健康检查 + git 责任分析 + 错误模式 + 回滚命令 + 事后总结模板 |
| `growth-tracker` | 正常运行时间,git 速度,SEO 趋势,依赖健康状况。存储快照以进行周环比比较。 |
| `cost-tracker` | 记录每个功能/模型的 AI token 使用量。内置 Claude,GPT-4o,Gemini 定价。每日趋势。 |
| `pentest-scanner` | 自动化渗透测试:XSS,SQLi,SSTI,命令注入,路径遍历,CORS,JWT,GraphQL 内省,原型污染,竞态条件,请求走私。零误报,每个发现都提供概念验证。 |
| `canary-monitor` | 部署后金丝雀监控:HTTP 状态,响应时间,错误模式,基线回归检测。自动保存基线以供将来比较。 |
| `retro-analyzer` | Sprint 回顾:git 速度,提交模式 (功能 vs 修复),测试健康状况,热点文件,发布节奏。生成洞察和建议。 |
| `learnings-manager` | 项目经验 CRUD:保存,搜索,列出,清理,导出。跨会话累积的结构化知识。 |
### 项目分析
| 工具 | 功能 |
|---|---|
| `onboard-generator` | 自动生成开发者指南:技术栈,目录树,路由,schema,环境变量,Mermaid 图 |
| `architecture-mapper` | 4 个 Mermaid 图:系统概览,路由树,数据库 ER 图,数据流。循环依赖 + 孤立节点检测。 |
| `pattern-analyzer` | 分析测试,错误处理,TypeScript 使用情况,CI/CD,git 实践。跨仓库比较。 |
| `audit-history` | 随时间保存/比较审计分数 |
### 集成 (可选)
| 工具 | 功能 |
|---|---|
| `gsc-client` | Google Search Console:提交站点地图,检查 URL,查询排名 (需要 `ULTRASHIP_GSC_CREDENTIALS`) |
| `bing-webmaster` | Bing Webmaster:提交站点地图/URL,IndexNow 即时推送,关键词研究,反向链接,站点扫描,URL 检查 (需要 `ULTRASHIP_BING_KEY`)。支持 ChatGPT Search + Microsoft Copilot。 |
| `ga4-client` | Google Analytics 4:概览,热门页面,着陆页,流量来源,转化,用户旅程,设备,实时,**AI 流量** (ChatGPT/Perplexity/Copilot 追踪),**自然流量** (仅限搜索)。`--organic` 标志。 |
| `keyword-intelligence` | 12 命令关键词引擎:分析,快速赢取,同类相食,内容空白,意图映射,趋势,高意图,页面关键词,内容衰退,难度,**异常** (CTR 异常),**交叉引用** (GSC↔GA4)。`--brand` 标志用于非品牌过滤。 |
| `index-doctor` | 索引诊断:通过 GSC URL 检查 API 检查 URL,诊断 15+ 种覆盖状态,自动修复并提交给 Bing。 |
## 命令 (36)
安装插件后在 Claude Code 中可用的斜杠命令:
| 命令 | 描述 |
|---|---|
| `/sprint` | Sprint 工作流。从计划 → 构建 → 测试 → 审查 → 发布 → 验证的结构化流水线 |
| `/investigate` | 根本原因调查。结构化调试,锁定模块,无证据不修复 |
| `/learn` | 项目经验。保存,搜索,清理,导出跨会话累积的知识 |
| `/guard` | 安全护栏。阻止破坏性命令,可选择将编辑限制在特定目录内 |
| `/retro` | Sprint 回顾。Git 速度,提交模式,测试健康状况,发布节奏 |
| `/canary` | 部署后金丝雀。验证生产环境健康状况,检测部署后的回归 |
| `/pentest` | 渗透测试。对您的应用进行黑客测试 (Web,API,浏览器,GitHub,本地代码) |
| `/ship` | 部署前计分卡。运行 5 个工具,对 4 个类别进行评分 |
| `/seo` | SEO 审计 (63 条规则) + AI 可见性检查 (机器人访问,代码片段限制,schema) |
| `/secure` | 密钥扫描 + OWASP 模式 + `npm audit` |
| `/perf` | Lighthouse + 包大小 |
| `/deploy` | 环境检查 → 迁移检查 → 构建 → 部署 → 健康检查 |
| `/review` | 具有置信度评分发现的代码审查 |
| `/health` | 生产环境健康检查 |
| `/compete` | 将您的网站与竞争对手进行比较 |
| `/launch` | 生成发布文案 + 清单 + 新闻资料包 |
| `/rescue` | 事件诊断 + 回滚命令 |
| `/grow` | 随时间变化的增长指标 |
| `/cost` | AI 构建成本追踪 |
| `/onboard` | 生成开发者入职指南 |
| `/architecture` | 生成 Mermaid 架构图 |
| `/clone-patterns` | 分析任何仓库的模式,并与您的进行比较 |
| `/demo` | 查找开发遗留物,评估演示就绪程度 |
| `/visual-diff` | 前后截图比较 (通过 Playwright MCP) |
| `/content` | 可读性 + 关键词密度分析 |
| `/bundle` | 包大小追踪 |
| `/profile` | 后端反模式的静态分析 |
| `/deps` | 未使用/过时的依赖检测 |
| `/redirects` | 重定向链/循环检测 |
| `/release` | 更新日志 + 版本号升级 + GitHub release + npm 发布 |
| `/revise-claude-md` | 使用会话经验更新 CLAUDE.md |
| `/brainstorm` | 结构化头脑风暴 → 规格文档 |
| `/write-plan` | 从规格文档生成实施计划 |
| `/execute-plan` | 逐步执行计划 |
## 技能 (39)
技能是 Markdown 指令文件,用于在您的会话期间塑造 Claude 的行为。它们根据上下文激活。当您进行调试时,Claude 会使用调试技能。当您构建 UI 时,它会使用前端设计技能。
**工作流 (19):** 头脑风暴,规划,TDD,实现,代码审查,调试,重构,前端设计,API 设计,数据建模,git 工作流,部署流水线,发布,CLAUDE.md 管理,验证,浏览器测试,**sprint 流水线**,**调查**,**经验管理**
**专家 (8):** SEO + AI 可见性审计,安全审计,**渗透测试**,性能审计,内容质量,代码分析,并行代理调度,**安全护栏**
**增长与智能 (12):** 竞品分析,发布准备,事件响应,增长追踪,成本追踪,入职引导,架构映射,模式分析,演示就绪,视觉回归,**金丝雀监控**,**Sprint 回顾**
## 代理 (11)
代理由技能调度以并行运行审计:
`code-reviewer` · `seo-auditor` · `security-auditor` · `pentest-auditor` · `perf-auditor` · `browser-verifier` · `compete-analyzer` · `launch-auditor` · `incident-responder` · `growth-tracker` · `canary-monitor`
## MCP 服务器 (2)
| 服务器 | 用途 |
|---|---|
| [Context7](https://github.com/upstash/context7) | 实时库文档。获取任何框架/库的最新文档。 |
| [Playwright](https://github.com/anthropics/anthropic-quickstarts/tree/main/mcp-server-playwright) | 浏览器自动化。导航,截图,填写表单,测试已部署的页面。 |
两者均在首次使用时惰性启动。无后台进程。
## Sprint 工作流
Ultraship 的技能链接成一个结构化的 sprint 流水线。每个阶段产生的工件将输入给下一个阶段:
```
/sprint → /write-plan → /execute-plan → /tdd → /review → /ship → /deploy → /canary → /retro
```
| 阶段 | 能 | 输出 |
|---|---|---|
| 计划 | `/write-plan` | 包含文件映射和测试策略的实施计划 |
| 构建 | `/execute-plan` | 功能分支上的可用代码 |
| 测试 | TDD 技能 | 通过的测试套件 |
| 审查 | `/review` + `/secure` | 审查报告,安全扫描 |
| 发布 | `/ship` + `/deploy` | 计分卡 + 生产部署 |
| 验证 | `/canary` | 部署后健康验证 |
| 回顾 | `/retro` + `/learn` | 回顾 + 保存的经验 |
运行 `/sprint` 以遵循完整的流水线,或根据需要运行各个阶段。
## 安全护栏
`/guard` 激活 PreToolUse 钩子,在破坏性命令执行前将其阻止:
- `rm -rf`,`DROP TABLE`,`TRUNCATE` (数据破坏)
- `git push --force`,`git reset --hard` (git 历史破坏)
- `git clean -f`,`git checkout .` (工作目录破坏)
- `kubectl delete`,`docker system prune` (基础设施破坏)
可选的目录冻结将所有文件编辑限制在特定路径内。明确确认的操作始终会继续执行。
## 持久化记忆
Ultraship 在会话开始时强制执行**记忆优先规则**。SessionStart 钩子会检测您是否有 `MEMORY.md` 文件,并指示 Claude 在执行任何任务之前读取它。上下文可以在会话之间持久化。无需再重复说明项目状态、部署状态或已做出的决定。
- 如果找到 `MEMORY.md`:Claude 在执行任何操作之前会先读取记忆文件
- 如果未找到:Claude 会建议设置自动记忆以保持上下文持久化
无需配置。只需安装插件即可。
## SEO + AI 可见性
SEO 扫描器检查三个层面的 63 条规则:
- **SEO (39 条规则)**:meta 标签,canonical,标题层级,alt 文本,OG 标签,站点地图,robots.txt,结构化数据,分析检测,跨页面重复的标题/描述,孤立页面检测,canonical 冲突,薄弱内容,内部链接
- **GEO (20 条规则)**:AI 搜索可见性信号。`robots.txt` 是否阻止了 GPTBot/PerplexityBot/ClaudeBot?`nosnippet`/`max-snippet` 指令是否限制了 AI 引用资格?是否存在用于 AI 发现的 `llms.txt`?是否存在用于 AI 提取的结构化数据?这些是可验证的技术信号,而不是排名因素的猜测。
- **AEO (4 条规则)**:答案引擎 schema 检查。FAQPage,HowTo,speakable,Article/BlogPosting。这些是启用精选摘要和语音结果的结构化数据类型。我们检查其是否存在,而不检查 SERP 表现。
除了扫描器之外,Ultraship 还连接到真实的 API:GSC URL 检查 (实际索引状态),GA4 (来自 ChatGPT/Perplexity/Copilot 的实际 AI 引荐流量),Bing Webmaster (抓取状态,IndexNow)。数据驱动的分析,而非估算。
## 自我测试 (Dogfooding)
在 [SaveMRR](https://savemrr.co) (Hono + React + Drizzle pnpm monorepo,5 个包,41 条路由) 上的 `/ship` 结果:
| | 后端 + 仪表盘 | 着陆页 (29 页) |
|---|---|---|
| SEO + AI 可见性 | 63 | 52 |
| 安全 | 100 | 100 |
| 代码质量 | 70 | 67 |
| 包大小 | 100 | 92 |
| **总分** | **83** | **78** |
227 项发现:1 个 N+1 查询,33 个未使用的依赖 (通过导入图发现的无效 shadcn/ui 包装器),153 个 SEO 问题,1 个内存泄漏,1 个重度依赖。
## 安全
所有工具均使用带有数组参数的 `execFileSync` (无 shell 插值)。HTTP 工具导入 `tools/lib/security.mjs` 以提供 SSRF 保护 (阻止私有 IP,云元数据,非 HTTP 方案)。10MB 文件读取上限。5MB 响应上限。输出中隐去密钥值。零遥测。
请参阅 [SECURITY.md](SECURITY.md)。
## 架构
```
.claude-plugin/ Plugin manifest
skills/ 39 markdown skill files
agents/ 11 markdown agent definitions
commands/ 34 markdown command definitions
tools/ 33 Node.js ESM scripts
tools/lib/ Shared modules (security.mjs, monorepo.mjs)
hooks/ Session-start hook + guard hooks (PreToolUse for destructive command blocking)
```
- Node.js ESM (`type: module`)
- 1 个依赖:`htmlparser2` (SAX HTML 解析器,约 30KB)
- 工具将 JSON 输出到 stdout,成功和失败时均以退出码 0 结束 (错误信息包含在 JSON 中)
- 技能通过 `${CLAUDE_PLUGIN_ROOT}/tools/.mjs` 引用工具
- 无构建步骤。无原生绑定。无需 `node-gyp`。
## 贡献
```
git clone https://github.com/Houseofmvps/ultraship.git
cd ultraship
npm test # 180 tests, node:test
node tools/.mjs # Run any tool directly
```
[开启一个 issue](https://github.com/Houseofmvps/ultraship/issues) 或提交 PR。
## 许可证
MIT标签:AI 辅助编程, CISA项目, Claude Code 插件, DevSecOps, ESM, GNU通用公共许可证, LLM Agent, Node.js, NPM 包, PE 加载器, SEO 检查, 上游代理, 事件响应, 代码审查, 低依赖, 全能工具集, 可扩展性, 大语言模型工具, 安全合规, 实时处理, 密码管理, 工作流自动化, 数据管道, 特征检测, 生产就绪, 监控预警, 竞争分析, 网络代理, 自动化开发, 自定义脚本, 软件工程, 金丝雀监控