Raishin/vanguard-frontier-agentic
GitHub: Raishin/vanguard-frontier-agentic
为多云和零信任场景精心打造的 AI 技能与代理集市,帮助团队在云安全、合规和基础设施工程中安全地使用编码代理。
Stars: 6 | Forks: 2
# Vanguard Frontier Agentic
本仓库收集了可复用的 **技能**、**代理**、**规则**、**MCP 参考**
以及为使用 AWS、Azure、OCI、GCP、
Alibaba Cloud、Huawei Cloud、Kubernetes、Terraform、云安全
和重度合规架构的工程师提供的支持资产。
- 🧠 **技能** = AI 助手可以遵循的分步工作流。
- 🤖 **代理** = 用于审查、架构和运营的可复用专家角色。
- 📏 **规则** = 针对特定 AI 框架的持久性指令。
- 🔌 **MCP 参考** = 用于将工具连接到真实系统的可信说明。
- 🗂️ **目录** = 机器可读的索引,以便工具可以发现所有内容。
**兼容工具:**
[Claude Code](https://docs.anthropic.com/en/docs/claude-code) ·
[Codex](https://github.com/openai/codex) ·
[GitHub Copilot](https://github.com/features/copilot) ·
[Cursor](https://www.cursor.com/) ·
[Gemini CLI](https://github.com/google-gemini/gemini-cli) ·
[Kiro](https://kiro.dev/) ·
*以及任何其他编码代理。*
## 🚀 快速开始
**前置条件:** [Node.js](https://nodejs.org/) 18+
```
# 1️⃣ 安装包
npm install @raishin/vanguard-frontier-agentic@latest
# 2️⃣ 将你的岗位所需的 agents 导出到你的 repo
npx vfa-export-agents --platform claude-code --role cloud-security-engineer --repo .
# 3️⃣ 打开你的 coding agent 并引用导出的 agent
# “使用 kubernetes-rbac-review-agent 审计此 RBAC 变更。”
```
**🗺️ 不确定你需要哪种角色或代理?** 跳转到 [安装参考](#install-reference) 查看全貌。
### 安装路径
支持三种安装路径 —— npm 包、`vfa-export-agents` CLI 以及第三方 `skills` CLI —— 每种路径在版本控制、信任度和范围方面都有不同的特征。请参阅 [`docs/integrations/skills-cli.md`](docs/integrations/skills-cli.md) 了解完整的信任矩阵、验证标志语法、版本锁定指南和安装前检查步骤。
```
npm install @raishin/vanguard-frontier-agentic@latest
```
## 🧠 技能
覆盖 AWS、Azure、OCI、GCP、Alibaba Cloud、Huawei Cloud、Kubernetes、CNCF 生态系统、Terraform 等领域的 **286 项技能**。
| 领域 | 数量 | 涵盖内容 |
| ------------------ | ---: | ------------------------------------------------------------------------------------------------- |
| 🟧 AWS | 47 | IAM, EKS, ECS, Lambda, RDS, S3, 成本, DevOps, Bedrock, 安全, WAF 审查, 实时防护 |
| 🟥 OCI | 41 | ADB, OKE, IAM, Vault, Resource Manager, 成本, 网络, WAF 审查, 实时防护 |
| 🟩 GCP | 51 | GKE, BigQuery, Vertex AI, Cloud Run, AlloyDB, Firebase, Gemini API, WAF 审查, 实时防护 |
| 🟦 Azure | 36 | AKS, App Service, ARM/Bicep, Key Vault, PIM, 成本, Entra ID, CosmosDB, WAF 审查, 实时防护 |
| 🟠 Alibaba Cloud | 43 | ACK, ECS, PolarDB, MaxCompute, RAM, OSS, MLPS 2.0, WAF 审查, 实时防护 |
| 🔴 Huawei Cloud | 43 | CCE, GaussDB, ModelArts, DEW, SecMaster, OBS, MLPS 2.0, WAF 审查, 实时防护 |
| ☸️ Kubernetes | 10 | RBAC 审查, 工作负载身份, PSA, 实时 RBAC/准入控制/服务网格/网络/ArgoCD 防护, maestro |
| 🛡️ Kyverno | 1 | ClusterPolicy/Policy, PolicyException, failureAction, 后台扫描 |
| 🔄 Argo CD | 2 | AppProject 爆炸半径, 同步模拟身份, RollingSync, 同步窗口 |
| 🕸️ Istio | 1 | Ambient 网格, ztunnel L4 与 waypoint L7, PeerAuthentication, mTLS 姿态 |
| 🐝 Cilium | 1 | CiliumNetworkPolicy, ClusterMesh 信任, 169.254.169.254 出口, WireGuard 加密 |
| 📡 OpenTelemetry | 1 | Collector 管道, memory_limiter, receiver 暴露, exporter 基数, 凭证处理 |
| 🟩 Terraform | 1 | IaC 审查和计划安全性 |
### 🛡️ 实时防护技能 — 在破坏生产环境前及时止损
实时防护技能对不可逆操作强制执行审批关卡和回滚姿态:
**🟧 AWS (5):**
- `aws-live-deployment-guarded-operator` — 具有账户/区域确认的、需审批的通用实时部署操作
- `aws-live-iac-change-guard` — CloudFormation/SAM/CDK/Terraform 更改集 + 漂移 + 回滚姿态强制执行
- `aws-live-pipeline-approval-operator` — 具有确切阶段和审批者范围的 CodePipeline 审批关卡
- `aws-live-serverless-release-guard` — 带有告警和强制回滚的 Lambda 别名/金丝雀/线性滚动发布
- `aws-live-ecs-rollout-guard` — ECS/Fargate 部署熔断器、健康检查证据、回滚路径
**🟩 GCP (6):**
- `gcp-live-gke-rollout-guard` — GKE 部署和节点池变更,控制平面版本关卡
- `gcp-live-iam-policy-change-guard` — IAM 绑定变更、组织策略更改、SA 密钥创建 —— 组织级爆炸半径
- `gcp-live-kms-key-destruction-guard` — Cloud KMS 密钥版本销毁 —— CMEK 数据将永久无法恢复
- `gcp-live-cost-budget-action-guard` — 预算阈值、CUD 承诺、配额增加 —— 财务授权关卡
- `gcp-live-bigquery-dataset-deletion-guard` — 数据集删除、表截断、授权视图更改 —— 不可逆的数据丢失
- `gcp-live-cloud-run-traffic-migration-guard` — Cloud Run 修订版本流量切换、min-instances 更改 —— 生产流量爆炸半径
**🟠 Alibaba Cloud (6):**
- `alibaba-live-ack-rollout-guard` — ACK 部署变更、节点池扩缩容、集群版本升级
- `alibaba-live-ram-policy-change-guard` — RAM 策略/角色变更 —— 账户级爆炸半径、权限提升风险
- `alibaba-live-kms-key-mutation-guard` — KMS 密钥删除/禁用 —— 加密数据将永久无法访问
- `alibaba-live-cost-budget-action-guard` — 预算阈值更改、节省计划购买、RI 承诺 —— 财务授权关卡
- `alibaba-live-oss-bucket-policy-guard` — OSS Bucket ACL/策略更改 —— 公开暴露或违反中国数据驻留规定
- `alibaba-live-rds-polardb-mutation-guard` — RDS/PolarDB 实例删除、规格降级、备份策略移除 —— 数据丢失风险
**🔴 Huawei Cloud (6):**
- `huawei-live-cce-rollout-guard` — CCE 部署变更、节点池升级、集群版本更改
- `huawei-live-iam-policy-change-guard` — IAM 策略/SCP 变更 —— 账户级爆炸半径、权限提升
- `huawei-live-kms-key-destruction-guard` — DEW/KMS 密钥删除 —— CSMS 密钥和 DBSS 加密数据将永久丢失
- `huawei-live-cost-budget-action-guard` — 预算阈值更改、RI 购买、CUD 承诺 —— 财务授权关卡
- `huawei-live-obs-bucket-policy-guard` — OBS Bucket ACL/策略更改 —— 公开暴露或数据驻留违规
- `huawei-live-gaussdb-mutation-guard` — GaussDB/RDS 实例删除、规格降级、备份策略更改 —— 数据丢失
**🟦 Azure (7):**
- `azure-live-aks-rollout-guard` — PDB 审计、滚动发布暂停/撤销、发布后健康检查
- `azure-live-arm-deployment-stack-guard` — what-if 证据、denySettings、PIM 控制的删除
- `azure-live-app-service-slot-swap-guard` — 粘性设置审计、流量切换、回退路径
- `azure-live-keyvault-rotation-purge-guard` — 轮换策略、软删除/清除保护、PIM 关卡
- `azure-live-pim-jit-activation-guard` — 符合条件的分配审计、MFA 关卡、JIT 撤销
- `azure-live-cost-budget-action-guard` — 预算变更、GPU SKU 策略、配额只读
- `azure-live-entra-role-assignment-guard` — 永久角色分配范围/主体审计、PIM 偏好强制执行、来宾主体阻止
**🟥 OCI (7):**
- `oci-live-autonomous-db-lifecycle-guard` — 带有标签强制执行的 ADB 扩展/停止/克隆/终止
- `oci-live-oke-rollout-guard` — DevOps 管道审批、PDB 审计、滚动发布暂停/撤销
- `oci-live-resource-manager-stack-guard` — 先计划后应用、漂移检测、作业锁强制执行
- `oci-live-vault-key-destruction-guard` — 轮换与销毁分离、7-30 天的删除窗口
- `oci-live-iam-policy-compartment-guard` — MFA 破玻璃机制、对租户根目录更改的双重审批
- `oci-live-cost-budget-runaway-guard` — 三级预算管理、GPU 类型关卡、ONS 告警路由
- `oci-live-network-security-rule-guard` — 安全列表/NSG 规则捕获、0.0.0.0/0 检测、数据库子网关键性、Path Analyzer 关卡
**☸️ Kubernetes (5):**
- `kubernetes-live-rbac-mutation-guard` — escalate/bind/impersonate 动词检测、通配符阻止、变更前状态捕获、通过 YAML 备份回滚
- `kubernetes-live-admission-policy-guard` — Kyverno/VAP 变更爆炸半径、failureAction 强制执行、PolicyException 范围验证
- `kubernetes-live-mesh-policy-guard` — Istio AuthorizationPolicy/PeerAuthentication 流量影响、PERMISSIVE→STRICT 迁移关卡
- `kubernetes-live-network-policy-guard` — CiliumNetworkPolicy/NetworkPolicy 连接影响、元数据服务出站阻止
- `kubernetes-live-argocd-sync-guard` — AppProject 爆炸半径、同步模拟身份审查、同步窗口更改关卡
### 技能示例
- 🔐 [`skills/aws/aws-iam-least-privilege-review`](skills/aws/aws-iam-least-privilege-review/) — 审查 AWS IAM 策略并减少不必要的访问。
- 🟦 [`skills/azure/azure-rbac-review`](skills/azure/azure-rbac-review/) — 审查 Azure RBAC 分配、范围和自定义角色。
- 🟥 [`skills/oci/oci-autonomous-database-architect`](skills/oci/oci-autonomous-database-architect/) — 跨 OCI 和多云选项设计和审查 Oracle Autonomous Database。
- 🟩 [`skills/gcp/gcp-gke-platform-operator`](skills/gcp/gcp-gke-platform-operator/) — 包含 Day-0/Day-1 决策、Workload Identity 和 AI 推理快速启动的 GKE Standard/Autopilot 设计。
- 🟠 [`skills/alibaba/alibaba-china-compliance`](skills/alibaba/alibaba-china-compliance/) — 针对阿里云中国区域工作负载的 MLPS .0、DSL、PIPL 和 ICP 备案合规审查。
- 🔴 [`skills/huawei/huawei-secmaster-security-operations`](skills/huawei/huawei-secmaster-security-operations/) — 华为 SecMaster SIEM/SOAR、HSS、CFW、WAF 姿态加固和事件分类。
- 💰 [`skills/finops/finops-cloud-price-advisor`](skills/finops/finops-cloud-price-advisor/) — 从 AWS、Azure 和 OCI 公共定价 API 获取实时价格;估算实时环境或原型的成本。
经验法则:如果该资产教你**如何执行一项可重复的任务**,那它就是一项技能。
## 🤖 代理
**289 个代理**与技能目录相匹配 —— 每个代理都提供 7 个框架适配器和一个强化的权限模型。
| 供应商 | 数量 | 专业方向 |
| ------------------ | ---: | ----------------------------------------------------------------------------------- |
| 🟧 AWS | 47 | 咨询、执行、实时防护操作 |
| 🟥 OCI | 39 | 咨询、实时防护操作 |
| 🟩 GCP | 51 | 咨询、实时防护操作、maestro 路由器 |
| 🟦 Azure | 36 | 咨询、实时防护操作 |
| 🟠 Alibaba Cloud | 43 | 咨询、实时防护操作、maestro 路由器 |
| 🔴 Huawei Cloud | 43 | 咨询、实时防护操作、maestro 路由器 |
| ☸️ Kubernetes | 15 | RBAC 审查、工作负载身份、PSA、5 个实时防护操作、maestro 路由器 |
| 🛡️ Kyverno | 1 | 准入策略审查 |
| 🔄 Argo CD | 2 | GitOps 审查、实时同步防护 |
| 🕸️ Istio | 1 | Ambient 网格审查 |
| 🐝 Cilium | 1 | 网络策略审查 |
| 📡 OpenTelemetry | 1 | Collector 配置审查 |
| 💰 多云 | 1 | FinOps 云价格顾问 |
| 🟩 Terraform | 2 | IaC 审查、maestro |
每个代理都附带:
- 📄 `AGENT.md` — 具有受保护响应形状的框架无关契约
- 🗂️ `metadata.json` — 经过模式验证的目录条目
- 🔌 7 个框架适配器 — claude-code, codex, copilot, cursor, gemini, kiro-ide, kiro-cli
```
agents/
├── aws/ (47 agents)
├── alibaba/ (43 agents — advisory, live-guard operators, maestro)
├── argocd/ (2 agents — GitOps review, live sync guard)
├── azure/ (36 agents)
├── backstage/ (1 agent — IDP scaffolder review)
├── cert-manager/ (1 agent — PKI cert lifecycle review)
├── cilium/ (1 agent — network policy review)
├── falco/ (1 agent — runtime threat detection)
├── finops/ (1 agent — cross-cloud price advisor)
├── fluxcd/ (1 agent — GitOps Kustomization/HelmRelease review)
├── gcp/ (51 agents — advisory, live-guard operators, maestro)
├── huawei/ (43 agents — advisory, live-guard operators, maestro)
├── istio/ (1 agent — ambient mesh review)
├── kubernetes/ (15 agents — RBAC, workload identity, PSA, pod-spec, ESO, Kubecost, live-guards, maestro)
├── kyverno/ (1 agent — admission policy review)
├── oci/ (39 agents)
├── opentelemetry/ (1 agent — collector config review)
├── prometheus/ (1 agent — alerting and cardinality review)
├── sigstore/ (1 agent — supply chain security)
├── terraform/ (2 agents)
└── velero/ (1 agent — backup and restore)
```
示例:
- 🧱 [`agents/terraform/terraform-reviewer`](agents/terraform/terraform-reviewer/) — 审查 Terraform 模块、计划、Provider 用法和状态假设。
当你需要一个**具有判断力的角色**,而不仅仅是一个检查清单时,请使用代理。
## 📦 安装参考
你可以安装的所有内容以及具体的安装方法。只需查看这一节,无需到处寻找。
### 🧭 如何选择要安装的内容
```
🙋 I know my job function → use --role
🎯 I know the specific agent I want → use --agents
☁️ I work on one cloud provider only → add --provider to either of the above
💥 I want everything for a platform → use --all
🔍 I don't know what exists yet → use --list or --list-roles first
```
### 🏷️ 参数参考
| 参数 | 值 | 是否必填 | 描述 |
| -------------- | ---------------------------------------------------- | ---------------------------------------- | ---------------------------------------------------- |
| `--platform` | 见下表 | ✅ 是(除 `--list`、`--list-roles` 外) | 目标 AI 框架 |
| `--role` | 见下文角色表 | 选择其一 ↓ | 为特定工作角色安装所有代理 |
| `--agents` | 逗号分隔的代理 ID | 选择其一 ↓ | 按照指定 ID 安装特定代理 |
| `--all` | — | 选择其一 ↓ | 安装该平台的所有代理 |
| `--provider` | `aws` `azure` `oci` `gcp` `alibaba` `huawei` `kubernetes` `terraform` `finops` `kyverno` `argocd` `istio` `cilium` `opentelemetry` | ➕ 可选 | 将 `--role` 的结果范围缩小到一个云供应商 |
| `--repo` | 路径 | ➕ 可选 | 目标仓库根目录(默认为当前目录) |
| `--force` | — | ➕ 可选 | 覆盖已存在的文件 |
| `--list` | — | 🔍 独立使用 | 打印所有代理 ID、供应商和名称;然后退出 |
| `--list-roles` | — | 🔍 独立使用 | 打印带有代理计数的角色 ID;然后退出 |
### 🖥️ 平台参考
每个平台都会将代理文件写入你仓库中的不同文件夹。
| `--platform` 值 | AI 框架 | 安装到 |
| ---------------- | ---------------------------------- | ------------------ |
| `claude-code` | 🤖 Claude Code (Anthropic) | `.claude/agents/` |
| `codex` | ⚡ Codex CLI (OpenAI) | `.codex/agents/` |
| `copilot` | 🐙 GitHub Copilot / VS Code | `.github/agents/` |
| `cursor` | 🖱️ Cursor | `.cursor/agents/` |
| `gemini` | ♊ Gemini CLI (Google) | `.gemini/agents/` |
| `kiro` | 🔮 Kiro — IDE + CLI 适配器 | `.kiro/agents/` |
| `kiro-ide` | 🔮 仅 Kiro IDE | `.kiro/agents/` |
| `kiro-cli` | 🔮 仅 Kiro CLI | `.kiro/agents/` |
### 👤 角色参考
角色会为特定工作职能的从业者安装跨所有云供应商的精选代理集。角色之间有意识地存在重叠 —— 一个代理可能会出现在多个角色中。
| `--role` 值 | 👤 适用对象 | 🔢 代理数量 | ☁️ 涵盖内容 |
| -------------------------------------------- | ------------------------------------------------------------------------ | ----------: | -------------------------------------------------------------------------------------------------------------------------------------- |
| `cloud-security-engineer` | 🔐 安全工程师、合规团队、IAM 负责人 | 26 | IAM/RBAC 审查、密钥生命周期、身份治理、针对访问和密钥变更的实时防护 —— AWS · Azure · OCI · Kubernetes |
| `cloud-platform-engineer` | 🏗️ 基础设施/SRE、IaC 负责人、Kubernetes 平台团队 | 25 | IaC 安全审查、容器平台操作、网络、Landing Zone、实时部署防护 —— AWS · Azure · OCI · Terraform |
| `cloud-dba` | 🗄️ 数据库管理员、数据平台工程师 | 13 | RDS/Aurora, DynamoDB, CosmosDB, OCI Autonomous/Exadata/MySQL HeatWave, 复制、实时数据库生命周期防护 |
| `cloud-finops-analyst` | 💰 FinOps 主管、成本治理团队 | 9 | 成本优化调节器、异常监控、预算失控防护、容量规划 —— AWS · Azure · OCI |
| `cloud-solutions-architect` | 🏛️ 云架构师、迁移负责人、AI/生成式工程师 | 20 | 解决方案架构、迁移割接、韧性/BCDR、事件驱动设计、多云、AI/生成式 —— AWS · Azure · OCI |
| `cloud-devops-engineer` | 🚀 CI/CD 工程师、发布经理、SRE 运维 | 25 | CI/CD、管道审批关卡、实时滚动发布防护、部署热修复操作、无服务器就绪性、可观测性 —— AWS · Azure · OCI |
| `kubernetes-admission-security-engineer` | 🛡️ 平台安全、策略工程师、准入控制负责人 | 6 | Kyverno 策略审查、K8s 工作负载身份、PSA 配置文件、实时准入策略防护、实时 RBAC 防护 |
| `kubernetes-network-engineer` | 🐝 网络工程师、平台 SRE、零信任网格负责人 | 5 | Cilium/NetworkPolicy 审查、Istio ambient 网格审查、实时网络策略和网格策略防护 |
| `kubernetes-application-platform-engineer` | 🔄 平台工程师、GitOps 负责人、ArgoCD 操作员 | 3 | Argo CD GitOps 审查、实时 ArgoCD 同步防护、kubernetes-maestro 路由器 |
| `kubernetes-runtime-security-engineer` | 🔍 运行时安全、可观测性和威胁检测工程师 | 6 | Falco 威胁规则、Sigstore 供应链、K8s 工作负载身份、RBAC 审查、pod-spec 审查、实时 RBAC 防护 |
| `kubernetes-pki-engineer` | 🔐 PKI/证书生命周期工程师、密钥管理负责人 | 6 | cert-manager Issuer/ClusterIssuer、CertificateRequestPolicy 缺口、ESO 范围、AWS Private CA、Azure KV 证书、OCI 证书 |
| `kubernetes-observability-engineer` | 📊 SRE 可观测性工程师、FinOps 成本分析师 | 4 | Prometheus 告警/基数、OTEL Collector 管道、Kubecost 计费/分配、maestro 路由器 |
| `kubernetes-supply-chain-security-engineer` | 🔏 供应链安全工程师、DevSecOps 实践者 | 7 | Sigstore/Cosign、Falco 运行时规则、Kyverno 准入策略、PSA 加固、pod-spec 审查、实时准入防护 |
| `kubernetes-developer-platform-engineer` | 🎭 IDP/平台工程师、GitOps 负责人、开发者体验主管 | 6 | Backstage Scaffolder 模板、Argo CD、Argo Rollouts 渐进式交付、FluxCD Kustomization/HelmRelease、maestro 路由器 |
| `kubernetes-disaster-recovery-engineer` | 💾 SRE 灾难恢复工程师、备份与恢复负责人 | 2 | 带有恢复前检查清单的 Velero 实时防护恢复操作、maestro 路由器 |
```
# 🔍 查看具体存在哪些 roles 以及每个 role 拥有多少个 agents
npx vfa-export-agents --list-roles
# 📦 安装一个 cloud role
npx vfa-export-agents --platform claude-code --role cloud-security-engineer --repo .
# ☁️ 仅为一个 provider 安装一个 cloud role
npx vfa-export-agents --platform claude-code --role cloud-security-engineer --provider azure --repo .
# ☸️ 安装一个 Kubernetes 专项 role
npx vfa-export-agents --platform claude-code --role kubernetes-admission-security-engineer --repo .
npx vfa-export-agents --platform claude-code --role kubernetes-network-engineer --repo .
```
### ☁️ 供应商参考
将 `--provider` 与 `--role` 结合使用,可将安装范围限制在某一个云上。
| `--provider` 值 | 领域 | 🔢 目录中的代理数量 |
| ------------------- | --------------------------------------- | -----------------: |
| `aws` | 🟧 Amazon Web Services | 47 |
| `azure` | 🟦 Microsoft Azure | 36 |
| `oci` | 🟥 Oracle Cloud Infrastructure | 39 |
| `gcp` | 🟩 Google Cloud Platform | 51 |
| `alibaba` | 🟠 Alibaba Cloud | 43 |
| `huawei` | 🔴 Huawei Cloud | 43 |
| `kubernetes` | ☸️ Kubernetes (跨云) | 15 |
| `kyverno` | 🛡️ Kyverno (准入策略) | 1 |
| `argocd` | 🔄 Argo CD + Argo Rollouts (GitOps) | 2 |
| `istio` | 🕸️ Istio (服务网格) | 1 |
| `cilium` | 🐝 Cilium (网络策略) | 1 |
| `opentelemetry` | 📡 OpenTelemetry (可观测性) | 1 |
| `terraform` | 🟩 Terraform (跨云) | 2 |
| `multi-cloud` | 💰 FinOps / 多云 | 1 |
| `prometheus` | 📊 Prometheus (告警 + 基数) | 1 |
| `falco` | 🦅 Falco (运行时威胁检测) | 1 |
| `sigstore` | 🔏 Sigstore / Cosign (供应链) | 1 |
| `cert-manager` | 🔐 cert-manager (PKI / 证书生命周期) | 1 |
| `fluxcd` | 🔄 FluxCD (GitOps) | 1 |
| `backstage` | 🎭 Backstage (IDP / 开发者平台) | 1 |
| `velero` | 💾 Velero (备份 + 恢复) | 1
```
# 🟥 为 cloud-platform-engineer 安装所有的 OCI agents(仅限 OCI 团队)
npx vfa-export-agents --platform codex --role cloud-platform-engineer --provider oci --repo .
# 🟦 为 cloud-devops-engineer 安装所有的 Azure agents
npx vfa-export-agents --platform copilot --role cloud-devops-engineer --provider azure --repo .
```
### 🎯 常见安装场景
| 🙋 我想要… | 命令 |
| -------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------- |
| 🔍 查看有哪些可用代理 | `npx vfa-export-agents --list` |
| 🔍 查看有哪些可用角色 | `npx vfa-export-agents --list-roles` |
| 👤 为我的工作角色安装 (Claude Code) | `npx vfa-export-agents --platform claude-code --role --repo .` |
| ☁️ 为我的工作角色安装,仅限单个云 | `npx vfa-export-agents --platform claude-code --role --provider aws --repo .` |
| ☸️ 安装 K8s 准入安全角色 | `npx vfa-export-agents --platform claude-code --role kubernetes-admission-security-engineer --repo .` |
| 🐝 安装 K8s 网络工程角色 | `npx vfa-export-agents --platform claude-code --role kubernetes-network-engineer --repo .` |
| 🧭 仅安装 Kubernetes maestro 路由器 | `npx vfa-export-agents --platform claude-code --agents kubernetes-maestro-agent --repo .` |
| 🎯 安装一个指定的代理 | `npx vfa-export-agents --platform claude-code --agents kubernetes-rbac-review-agent --repo .` |
| 🎯 安装两个指定的代理 | `npx vfa-export-agents --platform claude-code --agents agent-id-1,agent-id-2 --repo .` |
| 💥 安装适用于 Codex 的所有内容 | `npx vfa-export-agents --platform codex --all --repo .` |
| 🔄 重新安装并覆盖现有文件 | `npx vfa-export-agents --platform claude-code --role --repo . --force` |
| 📂 安装到其他仓库路径 | `npx vfa-export-agents --platform gemini --role --repo /path/to/other-repo` |
| 🏭 通过 CI/CD 管道强制执行 | 参见 [`docs/ci-cd-enforcement-pattern.md`](docs/ci-cd-enforcement-pattern.md) |
## 🌍 愿景
**为安全的云工程构建一个实用的 AI 工作流集市。**
这个仓库专为那些需要设计、审查和运营云系统的团队而存在,在这些团队中,安全性和合规性绝不是可有可无的附属品。
北极星指标:
这意味着每一个严肃的工作流都应该帮助工程师回答:
- 👤 **谁在访问什么?**
- 🔐 **为什么允许他们访问?**
- 🧾 **证据在哪里?**
- 🚨 **我们如何检测滥用或漂移?**
- 🧯 **我们如何响应和恢复?**
- 📋 **这支持哪项合规义务?**
## 🧬 理念
本仓库带有主观倾向。这是一个特性,而不是一个 bug。
### 1. 🛡️ 零信任胜过隐式信任
不要仅仅因为某个网络、云账户、CI Runner、代理、工作负载或人“位于”某物内部就信任它。
优秀的资产应该推动:
- 强身份验证,
- 最小权限,
- 显式授权,
- 分段,
- 持续验证,
- 日志记录和检测,
- 尽可能使用短期凭证,
- 安全的回滚路径。
### 2. 🧾 合规需要证据,而不是感觉
SOC 2 Type 2、PCI DSS、NIS2 和 NIST 风格的控制框架不是靠良好的意愿就能通过的。它们需要可重复的控制和随时间推移的证据。
优秀的资产应该产生或指向证据:
- 策略决策,
- 访问审查,
- 架构图,
- 工单审批,
- 日志和告警,
- 备份和恢复测试,
- 漏洞和补丁记录,
- 事件响应记录,
- 变更历史。
### 3. 🔐 最小权限是默认设置
如果一个工作流建议授予广泛的管理员访问权限,它必须解释原因。
如果它不能解释原因,它就不应该提出该建议。
### 4. 🧪 每一个声明都需要来源或验证路径
云行为会发生变化。合规期望在演变。供应商服务会发生漂移。
因此,资产应清楚地区分:
- ✅ 已验证的事实,
- 🧠 工程判断,
- ⚠️ 假设,
- ❓ 未知事物。
### 5. 🧯 自动化必须有刹车
AI 辅助的自动化不应成为破坏生产环境的捷径。
危险的操作需要:
- 首先进行只读发现,
- 明确批准,
- 限定范围的凭证,
- 尽可能使用试运行或计划模式,
- 回滚说明,
- 变更后验证。
## 📋 合规指南针
本仓库不是一个合规产品,也不能替代审计师、
QSA、法律顾问或官方标准。
它是一个**注重控制的工程工具箱**。这些资产应帮助团队
为跨框架的常见安全期望进行设计并收集证据。
每个实时防护和审查代理都会生成一个**结构化的判定响应** (`verdict`、`evidence_level`、`blockers`、`safe_next_actions`、`open_questions`),直接映射到 SOC 2 CC6.1、PCI DSS Req 7、NIS2 Article 21、NIST CSF PR.AC-4 和 ISO 27001 A.9.1.1 —— 无需后处理。有关完整的控制映射和证据保留指南,请参阅 [`docs/evidence-output-spec.md`](docs/evidence-output-spec.md)。
| 框架 / 标准 | 它提醒我们记住的内容 | 对仓库设计的启示 |
| -------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------- |
| 🔵 **SOC 2 Type 2** | 控制措施必须在一段时间内持续运作,尤其是围绕安全、可用性、机密性、处理完整性和隐私信任服务标准方面的控制。 | 工作流应留下证据轨迹,而不仅仅是一次性的修复。 |
| 💳 **PCI DSS** | 持卡人数据环境需要限定范围的控制、安全配置、访问控制、监控、漏洞管理和测试。 | 工作流应减少范围、避免广泛的访问,并标记支付数据风险。 |
| 🇪🇺 **NIS2** | 欧盟网络安全规则强调治理、风险管理、事件报告、供应链安全和管理问责制。 | 工作流应明确所有权、报告以及供应商/云依赖关系。 |
| 🧭 **NIST CSF 2.0** | 网络安全风险管理涵盖治理、识别、保护、检测、响应和恢复。 | 资产不应止步于预防;它们还应包括检测、响应和恢复。 |
| 🏛️ **NIST SP 800-207 零信任** | 访问应被持续评估,且不应依赖于隐式的网络信任。 | 代理和技能应对扁平网络、永久凭证和未经验证的信任边界提出质疑。 |
严厉纠正:**NIS2** 是欧洲网络安全指令。**NIST**
是一个美国标准机构。如果有人说“NIST2 欧洲合规”,他们
很可能指的是 **NIS2**,或者他们把两件不同的事情混淆了。
## 🏗️ 架构原则
在创建或审查资产时请使用这些原则:
| 原则 | 优秀的标准是什么样的 |
| ---------------------- | ------------------------------------------------------------------------------------------- |
| 👤 身份优先 | 人类、工作负载、代理和 CI/CD 作业具有明确的身份。 |
| 🔐 最小权限 | 权限是狭窄的、有正当理由的且可审查的。 |
| 🧱 分段爆炸半径 | 网络、账户、项目、订阅、租户和数据边界是经过深思熟虑的。 |
| 🧾 内置证据设计 | 工作流自然会生成日志、审批、差异、计划或报告。 |
| 🔎 持续监控 | 检测是设计的一部分,而不是事后补充。 |
| 🧯 可恢复性 | 提前考虑备份、恢复测试、回滚和事件响应。 |
| 🧭 基于源头的指导 | 官方文档和实时状态胜过记忆和假设。 |
| 🤝 人类问责制 | AI 可以提供协助,但所有者仍需承担审批风险的责任。 |
## 🧭 快速导航
| 文件夹 | 包含的内容 | 记忆口诀 |
| -------------------------- | ---------------------------------------------------------------- | -------------------------------------- |
| [`skills/`](skills/) | 按供应商或领域分组的可复用工作流 | 🧠 "我该怎么做这个任务?" |
| [`agents/`](agents/) | 按供应商或领域分组的专家角色 | 🤖 "谁应该来审查这个?" |
| [`rules/`](rules/) | 特定框架的指令 | 📏 "期望什么样的行为?" |
| [`mcp/`](mcp/) | MCP 服务器参考和信任说明 | 🔌 "这能连接到什么?" |
| [`catalog/`](catalog/) | 用于集市发现的 JSON 索引 | 🗂️ "存在哪些资产?" |
| [`schemas/`](schemas/) | 元数据验证契约 | ✅ "必填的字段有哪些?" |
| [`templates/`](templates/) | 新资产的起始模板 | 🧱 "我该如何添加一个?" |
| [`docs/`](docs/) | 质量规则、分类法、合规证据规范、CI/CD 强制执行模式 | 📚 "这个仓库应如何运作?" |
| [`assets/`](assets/) | Logo 和视觉资产 | 🎨 "文档可以使用哪些图片?" |
## 🔌 MCP 参考
MCP 参考描述了工具/服务器的集成及其信任边界。
示例:
- 🟧 [`mcp/official/aws-mcp-servers.md`](mcp/official/aws-mcp-servers.md)
- 🟦 [`mcp/official/azure-mcp-server.md`](mcp/official/azure-mcp-server.md)
- 🟥 [`mcp/official/oracle-mcp-servers.md`](mcp/official/oracle-mcp-servers.md)
重要提示:MCP 工具可能会读取或变更真实的基础设施。请像对待生产环境访问一样对待它们,而不是像无害的文档链接。
## ✅ 质量标准
本仓库**不是**提示词垃圾抽屉。
每个被收录的资产都应该:
- 🔎 **可追溯** — 包含官方文档或明确的来源出处。
- 🔐 **安全意识** — 解释访问、风险和最小权限问题。
- 🧪 **已验证** — 在分享前通过仓库检查。
- 🧭 **范围明确** — 清楚说明它支持哪个供应商、领域和框架。
- 🧯 **默认安全** — 变更前进行只读发现;危险操作前需要审批。
坚决拒绝:
- ❌ 密钥或凭证。
- ❌ 模糊的“万能”提示词。
- ❌ 不安全的生产环境变更配方。
- ❌ 没有来源或验证路径的云声明。
有关详细标准,请阅读 [`docs/quality-bar.md`](docs/quality-bar.md)。
## 🗂️ 元数据契约
每个被收录的资产都需要元数据,以便人员和工具能够理解它。
必填的公共字段:
- `id`
- `name`
- `type`:`skill`、`agent`、`rule` 或 `mcp-reference`
- `provider`:`aws`、`azure`、`oracle`、`oci`、`gcp`、`kubernetes`、
`terraform`、`multi-cloud` 或 `generic`
- `harnesses`:`codex`、`copilot`、`claude-code`、`cursor`、
`gemini`、`kiro`、`other` 中的一个或多个
- `summary`
- `source_type`:`original`、`adapted` 或 `reference-only`
- `official_docs`
- `security_notes`
- `last_verified`
- `path`
## 🔏 技能完整性清单
技能是可执行的指导。请像对待供应链制品一样对待它们。
本仓库使用 `catalog/skill-manifest.json` 来记录每个已收录技能目录下每个文件的 SHA-256 哈希值。
在有意编辑技能后,请重新生成清单:
```
npm run manifest:write
```
在发布或审查之前,检查它:
```
npm run manifest:check
```
## 🧪 验证你的更改
在贡献或分享更改之前,请运行:
```
npm run validate
```
等效的手动命令:
```
python tests/validate-catalog.py
python tests/validate-skill-manifest.py
python tests/validate-links.py --offline
```
如果验证失败,请先修复它。损坏的目录会使集市更难被信任。
## 📦 npm 发布与语义化版本控制
请使用 SemVer:`MAJOR.MINOR.PATCH`| 版本更新 | 使用场景 | 示例 |
| ------------- | ---------------------------------------------------------- | ----------------- |
| 🩹 `PATCH` | 错别字、元数据更正、清单刷新 | `0.1.0` → `0.1.1` |
| ✨ `MINOR` | 新技能、代理、供应商文件夹、可选元数据 | `0.1.0` → `0.2.0` |
| 💥 `MAJOR` | 删除/重命名 ID、移动路径、破坏性的 schema 更改 | `1.4.2` → `2.0.0` |
请在 [`docs/release-versioning.md`](docs/release-versioning.md) 阅读完整的策略。
## 🧑💻 如何添加新资产
1. 🧭 选择合适的文件夹 — `skills//`、`agents//`、`rules//` 或 `mcp/official/`。
2. 🧱 从模板开始 — [`templates/skill-template`](templates/skill-template/) 或 [`templates/agent-template`](templates/agent-template/)。
3. 🗂️ 在匹配的 `catalog/*.json` 文件中添加或更新目录元数据。
4. ✅ 运行 `npm run validate`。
5. 🧯 检查安全性 — 没有密钥、没有无正当理由的广泛权限、没有缺少审批关卡的破坏性操作。
## ❓ 常见问题
**技能与代理有什么区别?**
**技能**教你使用的编码代理*如何执行一项任务*(分步工作流、CLI 命令、参考资料)。**代理**赋予你的编码代理一个*具有判断力的角色* —— 它会加载技能并添加受保护的响应形状、审批关卡和强化的权限模型。 **我需要云账户才能使用这些吗?**
用于审查架构、编写 IaC 或规划时 —— 不需要。用于针对真实环境执行的实时防护代理时 —— 需要,并且它们会在进行任何变更之前要求你确认订阅/租户/主体。 **我可以不使用导出 CLI 来使用技能或代理吗?**
可以。直接从 `agents///harnesses/` 中复制适合你平台的框架文件到你仓库的代理文件夹中即可。CLI 只是自动化了这种复制。
**什么是“实时防护”代理?**
实时防护代理针对真实的云环境运行。它会在任何变更之前强制执行审批关卡,要求提供预检证据(what-if/plan/status 输出),并将缺少回滚设计视为停止条件。实时防护默认拒绝 —— 如果目标身份、审批状态或回滚姿态不明确,它们会停下来并告知你。 **FinOps 价格顾问实际上能做什么?**
它从 AWS Price List API、Azure Retail Prices API 和 OCI 公共定价 API 获取实时按需价格 —— 这些都是公开的、无需身份验证的端点。它从不需要计费凭证。默认货币为 USD;可通过 Azure 原生的 `currencyCode` 参数或 AWS/OCI 的公共汇率 API 获取其他货币。 **我可以贡献新的技能或代理吗?**
可以 —— 请参阅 [贡献指南](#contributing)。基本要求是:该资产必须是具体的、有来源依据的、具备安全意识的,并且通过了 `npm run validate` 的验证。 ## 📚 来源基准 在编写安全或合规敏感型资产时,请使用官方来源: - 🏛️ [NIST SP 800-207 零信任架构](https://csrc.nist.gov/pubs/sp/800/207/final) - 🧭 [NIST 网络安全框架](https://www.nist.gov/cyberframework) - 🇪🇺 [欧盟委员会:NIS2 指令](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive) - 🇪🇺 [ENISA:NIS 指令 2](https://www.enisa.europa.eu/topics/state-of-cybersecurity-in-the-eu/cybersecurity-policies/nis-directive-2) - 💳 [PCI 安全标准委员会文档库](https://www.pcisecuritystandards.org/document_library) - 🔵 [AICPA SOC 2 信任服务标准](https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2) 请优先使用这些来源而不是博客文章。博客文章可以帮助解释,但它们不是事实的来源。 ## 💬 反馈 我们重视您的意见 —— 它有助于为整个社区改进这个集市。 - **Bug 与功能需求:**[提交 Issue](https://github.com/Raishin/vanguard-frontier-agentic/issues/new) —— 为您希望优先处理的问题点赞 👍。 - **新技能或代理的想法:**在 Issue 中描述您的用例,我们将进行审查。 - **安全问题:**请参阅 [`SECURITY.md`](SECURITY.md) 了解负责任的披露方式。 ## 🛡️ 贡献 对于低信任度的贡献,默认答案是**拒绝**。这是有意的 —— 云自动化可能会破坏真实的系统。 优秀的贡献应当是:有用的、具体的、可审计的、有来源依据的、默认安全的,并且对任何资历的工程师都友好。 请参阅: - [`CONTRIBUTING.md`](CONTRIBUTING.md) - [`SECURITY.md`](SECURITY.md) - [`docs/taxonomy.md`](docs/taxonomy.md) - [`docs/compatibility.md`](docs/compatibility.md) - [`docs/marketplace-model.md`](docs/marketplace-model.md) ``` Skills = workflows 🧠 286 across AWS · Azure · OCI · GCP · Alibaba · Huawei · Kubernetes · CNCF · Terraform Agents = expert roles 🤖 289 with 7 harness adapters each Rules = always-on 📏 harness-specific operating guidance MCP = real connections 🔌 AWS · Azure · Oracle official servers Catalog = searchable index 🗂️ machine-readable, hash-verified ```
**技能**教你使用的编码代理*如何执行一项任务*(分步工作流、CLI 命令、参考资料)。**代理**赋予你的编码代理一个*具有判断力的角色* —— 它会加载技能并添加受保护的响应形状、审批关卡和强化的权限模型。 **我需要云账户才能使用这些吗?**
用于审查架构、编写 IaC 或规划时 —— 不需要。用于针对真实环境执行的实时防护代理时 —— 需要,并且它们会在进行任何变更之前要求你确认订阅/租户/主体。 **我可以不使用导出 CLI 来使用技能或代理吗?**
可以。直接从 `agents/
实时防护代理针对真实的云环境运行。它会在任何变更之前强制执行审批关卡,要求提供预检证据(what-if/plan/status 输出),并将缺少回滚设计视为停止条件。实时防护默认拒绝 —— 如果目标身份、审批状态或回滚姿态不明确,它们会停下来并告知你。 **FinOps 价格顾问实际上能做什么?**
它从 AWS Price List API、Azure Retail Prices API 和 OCI 公共定价 API 获取实时按需价格 —— 这些都是公开的、无需身份验证的端点。它从不需要计费凭证。默认货币为 USD;可通过 Azure 原生的 `currencyCode` 参数或 AWS/OCI 的公共汇率 API 获取其他货币。 **我可以贡献新的技能或代理吗?**
可以 —— 请参阅 [贡献指南](#contributing)。基本要求是:该资产必须是具体的、有来源依据的、具备安全意识的,并且通过了 `npm run validate` 的验证。 ## 📚 来源基准 在编写安全或合规敏感型资产时,请使用官方来源: - 🏛️ [NIST SP 800-207 零信任架构](https://csrc.nist.gov/pubs/sp/800/207/final) - 🧭 [NIST 网络安全框架](https://www.nist.gov/cyberframework) - 🇪🇺 [欧盟委员会:NIS2 指令](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive) - 🇪🇺 [ENISA:NIS 指令 2](https://www.enisa.europa.eu/topics/state-of-cybersecurity-in-the-eu/cybersecurity-policies/nis-directive-2) - 💳 [PCI 安全标准委员会文档库](https://www.pcisecuritystandards.org/document_library) - 🔵 [AICPA SOC 2 信任服务标准](https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2) 请优先使用这些来源而不是博客文章。博客文章可以帮助解释,但它们不是事实的来源。 ## 💬 反馈 我们重视您的意见 —— 它有助于为整个社区改进这个集市。 - **Bug 与功能需求:**[提交 Issue](https://github.com/Raishin/vanguard-frontier-agentic/issues/new) —— 为您希望优先处理的问题点赞 👍。 - **新技能或代理的想法:**在 Issue 中描述您的用例,我们将进行审查。 - **安全问题:**请参阅 [`SECURITY.md`](SECURITY.md) 了解负责任的披露方式。 ## 🛡️ 贡献 对于低信任度的贡献,默认答案是**拒绝**。这是有意的 —— 云自动化可能会破坏真实的系统。 优秀的贡献应当是:有用的、具体的、可审计的、有来源依据的、默认安全的,并且对任何资历的工程师都友好。 请参阅: - [`CONTRIBUTING.md`](CONTRIBUTING.md) - [`SECURITY.md`](SECURITY.md) - [`docs/taxonomy.md`](docs/taxonomy.md) - [`docs/compatibility.md`](docs/compatibility.md) - [`docs/marketplace-model.md`](docs/marketplace-model.md) ``` Skills = workflows 🧠 286 across AWS · Azure · OCI · GCP · Alibaba · Huawei · Kubernetes · CNCF · Terraform Agents = expert roles 🤖 289 with 7 harness adapters each Rules = always-on 📏 harness-specific operating guidance MCP = real connections 🔌 AWS · Azure · Oracle official servers Catalog = searchable index 🗂️ machine-readable, hash-verified ```
标签:AI工作流, AI技能市场, AI智能体, AI编程助手, AI自动化, Claude Code, Codex, Cursor, GitHub Copilot, MITM代理, NPM包, OSV-Scalibr, 前端工程, 合规性工程, 安全工程, 工作流编排, 文档结构分析, 暗色界面, 自动化合规, 软件供应链, 逆向工具, 零信任网络