name: security-guardian description: 为OpenClaw项目提供自动化安全审计。使用Trivy扫描硬编码密钥(API密钥、令牌)和容器漏洞(CVE)。提供结构化报告,帮助维护干净、安全的代码库。 metadata: {“openclaw”:{“requires”:{“skills”:[“mema-vault”]}}}
安全卫士
自动化安全审计和凭证保护系统。
核心工作流
1. 密钥扫描
扫描特定项目目录中的硬编码凭证。
- 工具:
scripts/scan_secrets.py - 用法:
python3 $WORKSPACE/skills/security-guardian/scripts/scan_secrets.py <项目路径> - 工作流:
- 对特定项目或目录执行扫描。
- 如果报告了发现(退出代码1):
- 查看文件和行号。
- 转移: 将密钥移至安全保险库(例如,使用
mema-vault技能)。 - 编辑: 将源代码中的明文密钥替换为环境变量或保险库查找调用。
2. 容器漏洞扫描
在部署前分析Docker镜像中的漏洞。
- 工具:
scripts/scan_container.sh - 用法:
bash $WORKSPACE/skills/security-guardian/scripts/scan_container.sh <镜像名称> - 逻辑: 识别
HIGH和CRITICAL严重级别。建议更新基础镜像或应用安全补丁。
安全护栏
- 范围限制: 避免扫描系统级目录。仅关注相关的项目工作空间。
- 凭证隔离: 硬编码密钥被视为高严重性发现。
- 依赖项: 容器扫描要求主机系统已安装
trivy。
集成
- 保险库: 此技能用于识别泄露。补救应使用专用的凭证管理器(如
mema-vault)执行。