Munizada/project-audit-council

 [](https://github.com/Munizada/project-audit-council/actions/workflows/validate.yml) [](https://github.com/Munizada/project-audit-council/releases/latest) [](https://github.com/Munizada/project-audit-council/blob/main/LICENSE) [](https://github.com/Munizada/project-audit-council/stargazers) [](https://github.com/Munizada/project-audit-council/tree/main/skills/project-audit-council) [](https://github.com/Munizada/project-audit-council/tree/main/.codex-plugin) [](https://github.com/Munizada/project-audit-council/tree/main/.claude-plugin) # 项目审计委员会 像由首席工程师、安全专家、QA 审查人员、数据库专家、DevOps 工程师和持怀疑态度的红队审查人员组成的评审委员会一样审计代码仓库。 Project Audit Council 是一个可复用的 Agent Skill 和插件包，适用于 Codex、Claude Code 以及兼容使用基于 `SKILL.md` 工作流的工具。它促使 agent 依赖证据，将已确认的发现与猜测区分开来，并默认采取更安全的审计行为。 ## 快速开始 当您需要安装、版本控制和市场发现时，请使用代码仓库插件包。 ### Codex ``` codex plugin marketplace add Munizada/project-audit-council codex plugin add project-audit-council@project-audit-council ``` 调用打包的 skill： ``` $project-audit-council audit this repository in deep mode. Do not modify files. ``` ### Claude Code ``` claude plugin marketplace add Munizada/project-audit-council claude plugin install project-audit-council@project-audit-council ``` 调用打包的 skill： ``` /project-audit-council:project-audit-council audit this repository in deep mode. Do not modify files. ``` ### 手动 Agent Skill Codex： ``` git clone https://github.com/Munizada/project-audit-council.git mkdir -p ~/.agents/skills cp -R project-audit-council/skills/project-audit-council ~/.agents/skills/ ``` Claude Code： ``` git clone https://github.com/Munizada/project-audit-council.git mkdir -p ~/.claude/skills cp -R project-audit-council/skills/project-audit-council ~/.claude/skills/ ``` ## 为什么选择 Project Audit Council？ 大多数扫描器的功能范围很窄。大多数 AI 审查过于急切地进行推测。Project Audit Council 旨在成为专业工程团队真正需要的折中方案：广泛的代码仓库覆盖范围、严格审视的证据标准，以及将业务逻辑和生产就绪性视为首要关注点（而非事后补充）的工作流程。 该项目旨在使代码仓库审计更具可操作性： - 跨运行保持一致 - 跨工具可移植 - 在发布前后都很有用 - 谨慎处理密钥和破坏性操作 - 如实反映已测试的内容与仍需验证的内容 ## 审计内容 - 构建、安装、运行时、测试、lint、格式化和类型检查路径 - 身份验证、授权、IDOR（不安全的直接对象引用）、角色越权和状态滥用 - 后端路由验证、事务、幂等性和错误行为 - 前端路由守卫、token 处理、模拟数据泄漏和客户端信任边界 - 数据库约束、所有权建模、迁移和数据完整性 - 依赖项、lockfile 和供应链风险 - 密钥暴露、危险的默认配置和错误配置的日志记录 - Docker、CI、部署、健康检查和生产就绪情况 - 架构边界、死代码、耦合、重复和可维护性 ## 委员会工作原理 该 skill 运行多阶段审计流程： 1. 代码仓库发现 2. 安全命令规划 3. 专家审查阶段 4. 持怀疑态度的审查和去重 5. 包含严重性、证据、影响、修复指导和回归测试建议的最终报告 默认姿态仅进行分析。除非用户在审计后明确要求进行修复，否则它不会修改文件。 ## 审计模式 - `quick`：快速结构审查和主要风险 - `standard`：平衡的全代码仓库审计 - `deep`：带有更广泛验证的默认多阶段审计 - `paranoid`：对身份验证、滥用、密钥、状态变更和生产强化进行最大程度的审查 - `diff`：审查当前变更而非整个代码仓库 - `fix-plan`：生成修复序列而不修改代码 ## 安装 详细的安装说明位于 [docs/INSTALLATION.md](docs/INSTALLATION.md) 中。 ### Codex 公开安装： ``` codex plugin marketplace add Munizada/project-audit-council codex plugin add project-audit-council@project-audit-council ``` 本地验证： ``` codex plugin marketplace add . codex plugin list --available --json ``` ### Claude Code 公开安装： ``` claude plugin marketplace add Munizada/project-audit-council claude plugin install project-audit-council@project-audit-council ``` 交互式等效命令： ``` /plugin marketplace add Munizada/project-audit-council /plugin install project-audit-council@project-audit-council /reload-plugins ``` ### 手动 Agent Skill 如果您的工具支持 Agent Skills 布局但不支持这些插件系统，请将 `skills/project-audit-council/` 复制到该工具预期的 skills 目录中。兼容性说明位于 [docs/COMPATIBILITY.md](docs/COMPATIBILITY.md) 中。 ## 用法 推荐的提示词： ``` Use Project Audit Council to audit this repository in deep mode. Do not modify files. Run safe existing validation commands when available. Separate confirmed findings from suspicions. For every confirmed finding, include file path, evidence, impact, recommended fix, and regression-test guidance. ``` ## 示例提示词 ``` Use Project Audit Council in paranoid mode. Focus on auth, authorization, secrets, state transitions, payment logic, and production readiness. ``` ``` Use Project Audit Council on only the backend and database layers. Keep the audit analysis-only. ``` ``` Use Project Audit Council in diff mode for the current changes and challenge every high-severity claim before finalizing. ``` 更多示例位于 [examples/usage.md](examples/usage.md) 中。 激活边界是有意设定得很窄的： - 它应在代码仓库审计、PR 或 diff 审计、红队审查、生产检查、系统性 bug 调查和修复规划时激活 - 除非用户明确要求进行审计，否则它不应在普通的功能实现、单函数解释、变量重命名、仅格式化工作或其他微小的局部编辑时激活 ## 证据标准 已确认的发现需要证据。一份有力的报告会将每个问题与以下一项或多项联系起来： - 文件路径和代码片段 - 命令输出 - 配置值 - 运行时行为 - 基于代码仓库的可重现推理 薄弱的猜测应被标记为 `Suspicion / Needs verification`（怀疑/需要验证），而不应被提升为已确认的缺陷。 ## 安全模型 Project Audit Council 默认仅进行分析。 它被允许检查文件并运行安全的现有检查。它不被允许： - 运行破坏性命令 - 重写历史记录 - 发布密钥 - 调用外部写入 API - 安装任意的生产环境依赖项 - 声称绝对的安全保证 ## 报告输出 报告模板预期包含： - 执行摘要 - 项目快照 - 执行的命令及结果 - 按严重程度划分的已确认发现 - 仍需验证的怀疑 - 生产就绪情况说明 - 建议的修复顺序 - 验证计划 参见 [skills/project-audit-council/references/report-template.md](skills/project-audit-council/references/report-template.md)。 ## 仓库结构 ``` project-audit-council/ |-- .agents/plugins/marketplace.json |-- .claude-plugin/ | |-- marketplace.json | `-- plugin.json |-- .codex-plugin/plugin.json |-- .github/ |-- assets/ |-- docs/ |-- examples/ |-- plugins/project-audit-council/ |-- scripts/ `-- skills/project-audit-council/ |-- SKILL.md |-- references/ |-- scripts/ `-- templates/ ``` ## 验证 在本地和 CI 中运行完整的验证套件： ``` python scripts/run_validation_suite.py ``` 或者直接运行各个命令： ``` python scripts/sync_packaging.py python scripts/validate_repo.py python -m compileall scripts skills/project-audit-council/scripts python -m unittest discover -s tests -v python skills/project-audit-council/scripts/audit_probe.py --root . --json git diff --check ``` ## 示例、评估和基准测试 - 调用示例：[examples/auto-invocation.md](examples/auto-invocation.md)、[examples/explicit-invocation.md](examples/explicit-invocation.md) - 审计示例：[examples/full-audit-example.md](examples/full-audit-example.md)、[examples/diff-audit-example.md](examples/diff-audit-example.md)、[examples/skeptical-review-example.md](examples/skeptical-review-example.md) - 合成报告示例：[examples/synthetic-benchmark-report.md](examples/synthetic-benchmark-report.md) - 激活评估数据集：[evals/dataset.json](evals/dataset.json) - 合成基准清单：[benchmark/manifest.json](benchmark/manifest.json) ## 链接 - 个人主页：https://github.com/Munizada - 代码仓库：https://github.com/Munizada/project-audit-council - 问题：https://github.com/Munizada/project-audit-council/issues - 发布：https://github.com/Munizada/project-audit-council/releases - 最新发布：https://github.com/Munizada/project-audit-council/releases/latest - 安全：https://github.com/Munizada/project-audit-council/security ## 兼容性 | 范围 | 状态 | 备注 | | --- | --- | --- | | Codex 插件打包 | 已验证 | 仓库市场加上 `.codex-plugin/plugin.json` | | Claude Code 插件打包 | 已验证 | 市场加上 `.claude-plugin/plugin.json` | | 手动 Agent Skill 文件夹 | 已打包 | 特定于工具的行为会有所不同 | | 其他兼容 Agent Skills 的工具 | 已记录在案 | 不进行特定于工具的测试则无法保证兼容性 | ## 路线图 - 发布社区反馈和兼容性报告 - 为 Codex 和 Claude Code 运行添加实时评估执行指南 - 在能提高有效信号的地方添加更多特定于技术栈的参考 - 仅当基准测试夹具能增加明确的覆盖价值时才对其进行扩展 ## 安全 对于漏洞，如果代码仓库启用了该功能，请优先使用 GitHub 私密漏洞报告。参见 [SECURITY.md](SECURITY.md)。 ## 许可证 MIT。参见 [LICENSE](LICENSE)。 ## 免责声明 Project Audit Council 是由 [Munizada](https://github.com/Munizada) 开发的第三方社区项目。它兼容 Codex、Claude Code 和 Agent Skills 生态系统，但它不是 OpenAI 或 Anthropic 的官方产品，也不声称能详尽地检测漏洞或提供绝对的安全保证。

标签：AI编程助手, DevOps工具, 代码审查, 智能体插件, 逆向工具, 错误基检测, 静态代码分析