armaniacs/skills-cc

# skills-cc 安装了 `npx skills` 漏洞扫描器和移除工具。 ## 功能 - 通过 `npx skills list -g` 列出全局技能 - 使用 OSV（开源漏洞库）/ GitHub 安全公告数据库检查漏洞 - 通过 `npx skills rm -g` 移除存在漏洞的技能 - 排除可信作者（可配置） - 默认启用安全演练模式（仅打印命令，不执行） ## 安装 ``` go build -o skills-cc ``` 或直接运行： ``` go run . ``` ## 用法 ``` # Dry run (default) - shows what would be removed ./skills-cc # Actually remove vulnerable skills ./skills-cc --execute # Use custom config file ./skills-cc --config /path/to/config.yaml ``` ## 配置 创建 `~/.config/skills-cc.yaml`： ``` excluded_authors: - anthropic - your-company cvss_threshold: 7.0 dry_run: true ``` | 选项 | 描述 | 默认值 | |------|------|--------| | `excluded_authors` | 从不移除其技能的作者列表 | `["anthropic"]` | | `cvss_threshold` | 触发移除的最低 CVSS 分数 | `7.0`（高危） | | `dry_run` | 若为 true，仅打印命令而不执行 | `true` | ## 工作原理 1. 运行 `npx skills list -g` 获取全局安装的技能 2. 对每个技能，查询 OSV API（api.osv.dev）获取漏洞信息 3. 过滤掉来自可信作者的技能 4. 识别 CVSS 分数大于等于阈值的技能 5. 生成移除命令 6. 在演练模式下：仅打印命令 7. 使用 `--execute` 时：运行 `npx skills rm -g ` ## 要求 - Go 1.21+ - 全局安装的 `npx skills` CLI 工具 - 用于漏洞数据库查询的互联网连接 ## 许可证 MIT

标签：CVSS, GitHub Advisory Database, Go语言, npm技能, npx, OSV, Vercel, YAML配置, 作者白名单, 依赖安全, 安全移除, 干运行, 技能管理, 日志审计, 暗色界面, 漏洞修复, 漏洞检测器, 程序破解, 网络安全培训