eliottreich/taskbounty-check

GitHub: eliottreich/taskbounty-check

一款本地运行的 GitHub Actions 和 CI 维护规范性检查工具，专为 AI 生成的应用提供 workflow 配置合规性扫描。

Stars: 0 | Forks: 0

# taskbounty-check **一个用于 GitHub Actions 和 CI 维护规范性的本地检查工具**（第三方 action 锁定、 workflow token 权限以及更新自动化），专为使用 Lovable、Bolt、 Replit、Cursor 或 v0 发布的应用而构建。 **默认本地运行。不上传数据。不收集遥测信息。** 它仅在您的机器上读取您的 workflow 文件。默认代码路径不会发起任何出站网络请求，会将报告写入本地，并且不会向任何地方发送任何内容。没有任何形式的分析或“回传”行为。只有可选的 `--gh-org` 模式会使用网络（通过您自己的 `gh` 会话）。 **支持 Cursor、Claude Code 和 Codex**（本地 MCP 服务器，见下文）。 ## 三种使用方式 **1. GitHub Action** — 在 CI 中添加维护检查，将摘要写入运行记录（无需 PR 评论，不上传源代码）： ``` permissions: contents: read steps: - uses: actions/checkout@v4 - run: npx taskbounty-check@0.1.5 . --github-summary --no-network ``` **2. Agent / MCP** — 用于 Cursor、Claude Code 和 Codex 的本地 stdio 服务器： ``` npx -y taskbounty-check@0.1.5 mcp ``` **3. 一次性 CLI** — 在本地扫描当前代码库并生成报告： ``` npx -y taskbounty-check@0.1.5 . ``` ### GitHub 作业摘要该 Action 会将仅包含计数的维护摘要写入 workflow 运行记录中（包含类别和后续步骤，不包含文件名、行号或代码库源码）。以下是该摘要的准确内容，由本代码库自己的 CI 输出渲染而成： ![TaskBounty 检查：GitHub Actions 维护摘要](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/c305a18271203941.png) 查看由[本代码库的 Actions 运行记录](https://github.com/eliottreich/taskbounty-check/actions)中的 **self-check** 作业实时生成的内容。 ### 了解更多 - [方法论](https://www.task-bounty.com/github-actions-security-check/methodology) — 准确了解它审查了什么以及如何标记发现的问题。 - [隐私与范围](https://www.task-bounty.com/ai-app-security-check) — 默认本地化数据处理。 - [局限性](#supported-checks-and-honest-limitations) — 它不检查的内容（见下文）。 ## 支持的检查（以及客观的局限性） **检查项（GitHub Actions + CI 维护规范性）：** - 第三方 actions 锁定到了可移动的 tag/branch，而不是 commit SHA - 宽泛的（拥有全部写入权限的）workflow token 权限 - 缺少显式的 `permissions:` 块 - 是否存在更新自动化（Dependabot/Renovate） - 标记为需要私下审查的上下文相关 workflow 模式（例如 `pull_request_target`、脚本注入） **不检查**（这些需要人工审查）：暴露的机密信息、身份验证/授权、支付、 webhook、运行时行为。它是一个维护/规范性检查工具，**不是**完整的安全审计或渗透测试。 ## 它的功能 - 仅读取您的 GitHub Actions workflow 文件和更新自动化配置，使用确定性规则集（与公共检查器规则相同）在进程内对其进行扫描，并写入本地 HTML + JSON 报告。它**不会**执行 workflow、安装依赖项或运行任何代码库代码。 ## 模式 | 模式 | 命令 | 网络 | |------|---------|---------| | 单个代码库 | `npx taskbounty-check .` | 无 | | 代码库目录 | `npx taskbounty-check ./all-repos` | 无 | | 显式路径 | `npx taskbounty-check --manifest repos.json` | 无 | | GitHub 组织（您的 `gh` 会话） | `npx taskbounty-check --gh-org ` | **有，需手动开启** | `--gh-org` 使用您现有的 `gh` CLI 会话来获取每个代码库的 workflow 文件**到本地机器**（只读）。您的 GitHub token 绝不会被本工具读取，也绝不会发送给 TaskBounty。 ## 读取、写入和传输的内容随时运行 `--explain-data` 以打印这些信息。 - **读取（白名单 — 不会打开其他任何内容）：** `/.github/workflows/*.yml|*.yaml` 以及更新自动化配置（`dependabot.yml`/`renovate.json*`）。绝不会读取源文件、`.env`、机密信息、SSH 密钥、凭证存储，或所选代码库根目录之外的任何内容。脱离根目录的符号链接将被跳过，绝不会被追踪。 - **写入（仅在本地）：** `.json`（完整详细信息）和 `.html`。 - **传输：** 默认情况下什么也不传输。**`--share` 不会上传任何内容** — 它会写入一个经过清理、仅包含计数的*脱敏*文件（包含扫描 ID、标签、按类别统计的候选数量、需私下审查的**数量**、扫描器版本、时间戳；只有在启用 `--include-repo-names` 时才包含代码库名称），供您手动提交。在 `--share` 下网络保持关闭状态。只有 `--gh-org` 会刻意使用网络。 ## 标志参数 `--share` · `--gh-org ` · `--manifest ` · `--org-label ` · `--include-repo-names` · `--dry-run` · `--explain-data` · `--delete-local-report` · `--no-network`（除 `--gh-org` 外默认到处应用） · `--out ` · `--version` · `--help` ## 需要帮助解读或修复这些结果吗？申请免费的 20 分钟发布前安全审查： https://www.task-bounty.com/ai-app-security-check/review?utm_source=npm&utm_medium=npm_readme&utm_campaign=workflow_security **除非您提交该表单，否则 TaskBounty 不会收到任何信息。** 扫描在本地运行，完整报告保留在您的机器上；审查表单不会给予我们访问您的代码库、源代码、 workflow 或机密信息的权限。 ## GitHub 代码扫描 (SARIF) 生成 SARIF 2.1.0 格式并在您代码库的 Security（安全） → Code scanning（代码扫描）标签页中展示发现的问题： ``` npx taskbounty-check@latest . --format sarif --output taskbounty.sarif ``` SARIF 包含确定性的规则 ID（`taskbounty/`）、严重级别以及文件/行号引用 — **不包含源码内容、机密信息或环境变量值**，且不进行任何网络访问。已确认的问题将标记为 `kind: fail`；置信度较低的项目标记为 `kind: review`。获取有关解读 SARIF 结果的帮助：https://www.task-bounty.com/ai-app-security-check/review?utm_source=github&utm_medium=sarif_docs&utm_campaign=workflow_security 使用官方 action 进行上传（完整示例见 [`examples/code-scanning.yml`](examples/code-scanning.yml)）： ``` permissions: contents: read security-events: write steps: - uses: actions/checkout@v4 - run: npx taskbounty-check@0.1.5 . --format sarif --output taskbounty.sarif - uses: github/codeql-action/upload-sarif@v3 with: sarif_file: taskbounty.sarif ``` ## 本地 agent (MCP) 运行**本地** stdio MCP 服务器，以便 Codex、Claude Code 或 Cursor 可以在您的编辑器中扫描并对发现的问题进行推理。它在本地运行，**零出站网络请求**，不上传源代码，并且 **绝不修改文件** — `generate_fix_plan` 仅以文本形式返回计划供您自己执行。 ``` npx taskbounty-check@latest mcp ``` 工具：`scan_repo`（本地扫描摘要）、`explain_finding`（通俗语言解释）、`generate_fix_plan`（文本修复计划）。需要人工审查该计划？https://www.task-bounty.com/ai-app-security-check/review?utm_source=mcp&utm_medium=mcp_docs&utm_campaign=workflow_security **Cursor** — `.cursor/mcp.json`： ``` { "mcpServers": { "taskbounty-check": { "command": "npx", "args": ["-y", "taskbounty-check@latest", "mcp"] } } } ``` **Claude Code**： ``` claude mcp add taskbounty-check -- npx -y taskbounty-check@latest mcp ``` **Codex** — 在 `~/.codex/config.toml` 中： ``` [mcp_servers.taskbounty-check] command = "npx" args = ["-y", "taskbounty-check@latest", "mcp"] ``` ## 安全性零运行时依赖。发布到 npm 时带有来源验证（可在该包的 npm 页面上进行验证）。默认运行不会发起任何出站请求，也不会上传任何内容；请参阅 [方法论](https://www.task-bounty.com/github-actions-security-check/methodology) 以了解完整的数据处理和范围边界。

标签：AI辅助开发, DevOps工具, MITM代理, 云安全监控, 暗色界面, 自动化检查, 自定义脚本, 静态分析