by 运行时依赖
无特殊依赖
安装命令
点击复制官方npx clawhub@latest install nerua1-vibe-safe-starter
镜像加速npx clawhub@latest install nerua1-vibe-safe-starter --registry https://cn.longxiaskill.com镜像同步中
技能文档
VibeSafe Starter — 您的第一个安全包 3 个文件。2 分钟。不再有“它在我的机器上工作”的灾难。 您使用 AI 代理进行编码。很酷。但是 AI 不会告诉您:67% 的 npm 包在 AI 生成的项目中存在已知漏洞。AI 不会检查,只会导入。 这个启动包在问题出现之前捕获明显的问题。 您正在冒的风险(现在) 每次 AI 代理执行 npm install 或 pip install 而不检查时: 风险现实 已知的 CVE 公开漏洞,攻击者已经利用 废弃的包 最后更新于 2022 年,没有修复计划 凭证泄露 .env 文件提交到 git,代码中的 API 密钥 供应链攻击 看似合法的恶意包 不维护的依赖项 47% 的 npm 包没有活跃的维护者 一个漏洞的依赖项 → 您的整个项目都被破坏。 解决方案(3 个文件)
- .github/workflows/security.yml 将其放入任何存储库。每次推送时运行。
- audit.sh 在执行 npm install 之前运行。捕获关键的 CVE。
- checklib.sh 在将库添加到项目之前检查。