Compétences zentao-api
📦

zentao-api

v1.0.0 Risque élevé ⚡ Contient des scripts⚙️ Commandes externes📁 Accès au système de fichiers🌐 Accès réseau

Gérer les éléments de travail ZenTao via API

Les équipes ont besoin d’un accès rapide aux enregistrements ZenTao sans mémoriser chaque endpoint REST. Cette skill associe les demandes utilisateur aux appels API ZenTao pour les projets, bugs, exigences, tâches, tests, releases et utilisateurs.

Prend en charge: Claude Codex Code(CC)
⚠️ 38 Médiocre
1

Télécharger le ZIP de la compétence

2

Importer dans Claude

Accédez à Paramètres → Capacités → Skills → Importer une compétence

3

Activez et commencez à utiliser

Ressources lisibles par les agents

Utilisez ces liens lorsqu’un Agent IA, un crawler ou un script a besoin d’un contexte propre au lieu de lire toute la page.

Tester

Utilisation de « zentao-api ». Affiche les bugs non résolus pour le produit 6.

Résultat attendu:

Un rapport de bugs groupé avec l’ID du bug, le titre, la sévérité, l’assigné, le statut et la prochaine action recommandée.

Utilisation de « zentao-api ». Crée une tâche dans l’exécution 18 pour les tests de régression API.

Résultat attendu:

Un message de confirmation indiquant le nom de la tâche, l’exécution, l’assigné, l’estimation et les champs qui seront soumis.

Utilisation de « zentao-api ». Ferme la story 122 parce qu’elle est terminée.

Résultat attendu:

Une mise à jour de statut confirmant le motif de fermeture, la story concernée, le résultat API et tout avertissement serveur renvoyé par ZenTao.

Audit de sécurité

Risque élevé
v2 • 6/29/2026

Static analysis over-reported many Markdown backticks and weak-cryptography hits that are false positives in API documentation. However, manual review confirmed a high-risk eval workflow that emits unescaped credentials into the shell and a plaintext persistent token cache. No prompt injection attempt or confirmed malicious intent was found, so this is not a critical block.

3
Fichiers analysés
776
Lignes analysées
10
Review items
0
False positives ignored

Confirmed security concerns (4)

Élevé
Shell Eval Command Injection in Token Setup
The skill tells users to run the token helper through eval. The helper prints unescaped URL, token, and account values as shell assignments, so metacharacters from environment variables, the cache file, or a server response can execute in the user shell.
The eval instruction is explicit, and the script emits raw variable values without shell escaping. This creates a direct command execution path if any emitted value is attacker controlled.
Élevé
Persistent Plaintext ZenTao Token Cache
The helper stores ZenTao URL, account, and token in a hidden home-directory JSON file. The documentation states ZenTao tokens are permanent, so local file disclosure can expose long-lived account access.
The cache path and write operations are directly present, and the comments describe permanent token behavior. The risk depends on local file permissions but the credential persistence is confirmed.
Faible
Markdown Backticks Misclassified as External Commands
Most static external command hits in SKILL.md and api-reference.md are Markdown code spans, shell examples, endpoint paths, or API tables. They are not executable Ruby backticks in a source file.
The cited lines are documentation text and tables, not Ruby code. The exception is the documented shell eval workflow, which is captured as a separate high-risk finding.
Faible
Weak Cryptography Findings Are Terminology False Positives
The weak cryptography hits map to API documentation terms, enum values, field names, and Markdown content. No evidence found of hashing, encryption, or custom cryptographic implementation in the reviewed files.
Manual review of representative flagged lines shows API fields and status values rather than crypto operations. This makes the high static severity misleading for that pattern.
Capability review items (2)

These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.

Moyen
Authenticated Network Requests and Mutating API Operations
The skill is designed to send authenticated requests to a user-configured ZenTao server and supports create, update, delete, and status transition actions. This is expected for the skill, but it can change project records and should require clear user confirmation.
The network call and many mutating curl examples are visible. The behavior is legitimate for this integration, but it raises operational risk when credentials are available.
Faible
High Entropy Heuristic Appears Caused by Documentation Text
The high entropy heuristic points at normal shell script and Markdown files containing Chinese text and dense API references. No evidence found of encoded payloads, binary blobs, or encrypted content.
The flagged files are readable source and documentation. The confidence is below very high because entropy is a heuristic, but the reviewed context does not show obfuscation.

Motifs détectés

Shell Eval Command Injection in Token SetupPersistent Plaintext ZenTao Token Cache

Score de qualité

45
Architecture
100
Maintenabilité
87
Contenu
68
Communauté
4
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez créer

Suivre le travail du sprint

Lister les projets actifs, exécutions, tâches assignées, bugs non résolus et travaux bloqués depuis ZenTao.

Maintenir le backlog produit

Créer, mettre à jour, fermer ou activer des stories, epics, exigences, plans produit et releases.

Coordonner les tests

Gérer les bugs, cas de test, tâches de test, builds et l’état de préparation des releases à partir des données de l’API ZenTao.

Essayez ces prompts

Lister le travail actif du projet
Affiche mes projets et exécutions ZenTao actifs. Inclue les tâches ouvertes et les bugs non résolus, groupés par projet.
Créer un bug confirmé
Crée un bug ZenTao pour le produit 12 intitulé Login fails after password reset. Utilise le build ouvert trunk et la sévérité 2. Demande-moi confirmation avant de le créer.
Mettre à jour les détails d’une exigence
Mets à jour la story 345 avec les nouveaux critères d’acceptation que je fournis. Récupère d’abord la story actuelle, conserve les champs inchangés et confirme les changements finaux avant de soumettre.
Examiner l’état de préparation d’une release
Pour le produit 8, examine l’état de préparation de la release. Vérifie les bugs ouverts, exigences actives, builds, tâches de test et tickets. Résume les bloqueurs et les prochaines actions recommandées.

Bonnes pratiques

  • Utiliser des variables d’environnement pour l’URL et les identifiants ZenTao, et effectuer une rotation des tokens après utilisation sur une machine partagée.
  • Confirmer chaque action de création, mise à jour, suppression, fermeture, résolution ou activation avant d’envoyer la requête.
  • Récupérer les détails de l’enregistrement actuel avant les mises à jour PUT afin de préserver les champs requis inchangés.

Éviter

  • Ne pas publier l’assistant de token actuel sans remplacer la sortie eval par des exports sûrs pour le shell.
  • Ne pas stocker de tokens ZenTao longue durée dans des répertoires personnels partagés sans permissions de fichier strictes.
  • Ne pas envoyer de requêtes de suppression ou de fermeture à partir de prompts vagues qui ne contiennent pas d’ID d’élément ni de confirmation.

Foire aux questions

À quoi cette skill se connecte-t-elle ?
Elle se connecte à un serveur ZenTao via REST API v2.0 à l’aide d’une URL et d’un token ou d’identifiants de connexion.
Peut-elle modifier les enregistrements ZenTao ?
Oui. Elle peut créer, mettre à jour, supprimer, fermer, résoudre et activer les enregistrements ZenTao pris en charge lorsqu’elle y est autorisée.
A-t-elle besoin d’un token ZenTao ?
Oui. Elle a besoin de ZENTAO_TOKEN ou de valeurs de compte et de mot de passe pouvant obtenir un token.
Pourquoi le risque de sécurité est-il élevé ?
Le workflow eval documenté peut exécuter une sortie non échappée de l’assistant de token, et l’assistant stocke des tokens longue durée en texte clair.
Des tentatives de prompt injection ont-elles été trouvées ?
Aucune preuve de texte de prompt injection n’a été trouvée dans les fichiers de skill examinés.
Est-ce prêt pour une publication sur le marketplace ?
Non. L’assistant de token doit être corrigé et examiné avant publication.

Détails du développeur

Auteur

easysoft

Licence

MIT

Version

v1.0.0

Réf

main

Structure de fichiers