Compétences zentao-tour
📦

zentao-tour

v1.0.0 Risque moyen ⚙️ Commandes externes🌐 Accès réseau📁 Accès au système de fichiers

Explorer ZenTao avec des visites guidées par rôle

Les nouveaux utilisateurs de ZenTao ont souvent du mal à relier les concepts, les commandes et les workflows réels. Cette compétence les guide à travers des visites basées sur les rôles à l’aide de zentao-cli et d’une conversation simple.

Prend en charge: Claude Codex Code(CC)
🥉 77 Bronze

Cette compétence fait partie d’un pack

Installez l’ensemble du pack pour obtenir toutes les compétences nécessaires à la tâche, en une seule commande.

1

Télécharger le ZIP de la compétence

2

Importer dans Claude

Accédez à Paramètres → Capacités → Skills → Importer une compétence

3

Activez et commencez à utiliser

Ressources lisibles par les agents

Utilisez ces liens lorsqu’un Agent IA, un crawler ou un script a besoin d’un contexte propre au lieu de lire toute la page.

Tester

Utilisation de « zentao-tour ». Je découvre ZenTao et je veux voir ce qu’il peut faire.

Résultat attendu:

L’assistant vérifie votre compte ZenTao actif, demande quel rôle d’équipe vous correspond et lance un court parcours guidé pour ce rôle.

Utilisation de « zentao-tour ». Montre-moi comment un testeur travaille dans ZenTao.

Résultat attendu:

L’assistant aide à sélectionner une story, rédiger des cas de test, créer une tâche de test et démontrer le cycle de vie d’un bug avec confirmation avant les changements.

Utilisation de « zentao-tour ». Je veux seulement une vue d’ensemble de gestion.

Résultat attendu:

L’assistant utilise des requêtes en lecture seule pour résumer les projets actifs, la santé des produits, les releases, les retours ou les tickets selon l’axe choisi.

Audit de sécurité

Risque moyen
v2 • 6/29/2026

Static analysis reported many command, network, filesystem, weak-crypto, and entropy issues, but the command and entropy hits are mostly Markdown examples, Mermaid syntax, Chinese prose, and documentation links. The confirmed risk is legitimate but elevated: the skill asks an agent to run zentao-cli against a live ZenTao instance, including create, update, state transition, and delete operations after user confirmation.

7
Fichiers analysés
760
Lignes analysées
8
Review items
0
False positives ignored
Capability review items (5)

These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.

Moyen
Live ZenTao Data Mutation Through CLI Commands
The skill instructs the agent to create products, stories, plans, projects, executions, tasks, test cases, bugs, and to perform status transitions in a real ZenTao environment. The workflow requires user consent before write operations, so this is legitimate product behavior, but a mistaken confirmation could alter production project data.
The files contain explicit zentao-cli create, update, resolve, close, start, and finish examples. The risk is moderated because SKILL.md also requires consent before create, update, delete, and status-flow commands.
Moyen
Credential And Token Handling In Setup Guidance
The onboarding guide shows ZenTao login commands, environment variables, token-based MCP configuration, and a local credential cache path. This is normal setup guidance, but users could expose credentials if they paste real secrets into shared prompts, logs, or configuration files with weak local permissions.
The documentation directly references passwords, tokens, environment variables, and local credential cache paths. I found no exfiltration behavior, so this remains a handling and disclosure risk rather than malicious activity.
Faible
Static Command-Execution Findings Are Mostly Markdown Examples
The scanner classified Markdown backticks and command snippets as Ruby or shell backtick execution. These are documentation examples for zentao-cli and Mermaid diagrams, not embedded executable code in the skill package.
Manual review shows Markdown code fences and inline command text, not Ruby source or dynamic shell execution primitives. The commands are intended examples for an AI assistant to run only within the tour workflow.
Faible
Hardcoded URLs Are Documentation And Example Endpoints
The hardcoded URLs point to the zentao-cli repository, ZenTao documentation, and a placeholder ZenTao server. I found no evidence that the skill sends hidden data to these URLs.
The reviewed URLs are visible documentation links or example configuration values. No hidden network call, webhook, or credential exfiltration instruction was found.
Faible
Filesystem And Weak-Crypto Alerts Appear To Be False Positives
Filesystem alerts are caused by relative Markdown links and documented local configuration paths. Weak-cryptography and entropy alerts appear to be triggered by Markdown filenames, MCP configuration text, Chinese content, and dense command tables rather than cryptographic code or encoded payloads.
The cited lines are documentation references or benign config paths, and there is no code implementing cryptography or decoding payloads. The entropy score is consistent with non-English prose and compact CLI syntax.

Motifs détectés

State-Changing CLI OperationsToken And Password Configuration Examples

Score de qualité

55
Architecture
100
Maintenabilité
87
Contenu
69
Communauté
75
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez créer

Intégrer un nouveau responsable produit

Transformer une idée de produit en produit ZenTao, en plusieurs stories et en un premier plan produit.

Pratiquer le flux de livraison

Créer un projet, ajouter un sprint, diviser les stories en tâches et examiner l’avancement des tâches.

Apprendre le workflow qualité

Parcourir les cas de test, les bugs, la responsabilité des tâches, la résolution et les flux de clôture.

Essayez ces prompts

Démarrer une visite de base
Fais-moi faire une visite de ZenTao. Vérifie d’abord si zentao-cli est prêt, puis aide-moi à choisir le bon parcours par rôle.
Essayer la planification produit
Guide-moi en tant que responsable produit. Aide-moi à créer un exemple de produit, à rédiger quelques stories et à les placer dans un plan.
Parcourir un sprint
Guide-moi à travers un workflow de chef de projet dans ZenTao. Utilise un produit existant, crée un projet et un sprint, puis divise le travail en tâches.
Examiner les métriques dirigeantes
Utilise la vue dirigeant pour examiner le rythme des projets et la santé des produits. Garde-la en lecture seule et résume les signaux les plus importants.

Bonnes pratiques

  • Utilisez un espace de travail ZenTao sandbox ou de démonstration pour les premières visites.
  • Confirmez chaque commande d’écriture ou de suppression avant son exécution.
  • Gardez les tokens et les mots de passe hors des prompts, captures d’écran et journaux partagés.

Éviter

  • N’exécutez pas la visite sur des données de production sans sauvegardes ni autorisation.
  • Ne collez pas de vrais mots de passe ZenTao dans des sessions d’assistant publiques ou partagées.
  • Ne sautez pas la sélection du rôle et n’imposez pas le même workflow à chaque utilisateur.

Foire aux questions

À quoi sert cette compétence ?
Elle aide les utilisateurs à apprendre ZenTao grâce à des visites guidées basées sur les rôles qui utilisent des commandes zentao-cli.
Nécessite-t-elle zentao-cli ?
Oui. La visite s’appuie sur les vérifications, commandes et la configuration MCP optionnelle de zentao-cli.
Peut-elle modifier mes données ZenTao ?
Oui. Certaines visites par rôle créent ou mettent à jour des enregistrements après confirmation. Utilisez un espace de travail de démonstration pendant l’apprentissage.
Quels rôles sont pris en charge ?
Elle prend en charge les rôles de responsable produit, chef de projet, testeur, développeur, dirigeant, ainsi qu’un parcours d’exploration flexible.
Le parcours dirigeant est-il en lecture seule ?
Oui. Le fichier du rôle dirigeant indique explicitement que le parcours est en lecture seule et ne doit pas déclencher d’actions de création, de mise à jour ou de suppression.
Comment les identifiants doivent-ils être gérés ?
Utilisez une configuration locale sécurisée lorsque c’est possible. Évitez de partager des mots de passe, tokens ou fichiers d’identifiants mis en cache dans les prompts ou les journaux.

Détails du développeur

Auteur

easysoft

Licence

MIT

Version

v1.0.0

Réf

main

Structure de fichiers

📁 roles/

📄 dev.md

📄 executive.md

📄 pjm.md

📄 pm.md

📄 test.md

📄 overview.md

📄 SKILL.md