Навыки zentao-api
📦

zentao-api

v1.0.0 Высокий риск ⚡ Содержит скрипты⚙️ Внешние команды📁 Доступ к файловой системе🌐 Доступ к сети

Управление рабочими элементами ZenTao через API

Командам нужен быстрый доступ к записям ZenTao без необходимости запоминать каждый REST endpoint. Этот навык сопоставляет запросы пользователей с вызовами ZenTao API для проектов, ошибок, требований, задач, тестов, релизов и пользователей.

Поддерживает: Claude Codex Code(CC)
⚠️ 38 Плохо
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Ресурсы для AI-агентов

Используйте эти ссылки, когда AI-агенту, crawler или script нужен чистый контекст вместо полной страницы.

Протестировать

Использование «zentao-api». Покажи нерешенные ошибки для product 6.

Ожидаемый результат:

Сгруппированный отчет об ошибках с bug ID, заголовком, severity, исполнителем, статусом и следующим рекомендуемым действием.

Использование «zentao-api». Создай задачу в execution 18 для регрессионного тестирования API.

Ожидаемый результат:

Сообщение подтверждения с названием задачи, execution, исполнителем, оценкой и полями, которые будут отправлены.

Использование «zentao-api». Закрой story 122, потому что она завершена.

Ожидаемый результат:

Обновление статуса, подтверждающее причину закрытия, затронутую story, результат API и любые предупреждения сервера, возвращенные ZenTao.

Аудит безопасности

Высокий риск
v2 • 6/29/2026

Static analysis over-reported many Markdown backticks and weak-cryptography hits that are false positives in API documentation. However, manual review confirmed a high-risk eval workflow that emits unescaped credentials into the shell and a plaintext persistent token cache. No prompt injection attempt or confirmed malicious intent was found, so this is not a critical block.

3
Просканировано файлов
776
Проанализировано строк
10
Review items
0
False positives ignored

Confirmed security concerns (4)

Высокий
Shell Eval Command Injection in Token Setup
The skill tells users to run the token helper through eval. The helper prints unescaped URL, token, and account values as shell assignments, so metacharacters from environment variables, the cache file, or a server response can execute in the user shell.
The eval instruction is explicit, and the script emits raw variable values without shell escaping. This creates a direct command execution path if any emitted value is attacker controlled.
Высокий
Persistent Plaintext ZenTao Token Cache
The helper stores ZenTao URL, account, and token in a hidden home-directory JSON file. The documentation states ZenTao tokens are permanent, so local file disclosure can expose long-lived account access.
The cache path and write operations are directly present, and the comments describe permanent token behavior. The risk depends on local file permissions but the credential persistence is confirmed.
Низкий
Markdown Backticks Misclassified as External Commands
Most static external command hits in SKILL.md and api-reference.md are Markdown code spans, shell examples, endpoint paths, or API tables. They are not executable Ruby backticks in a source file.
The cited lines are documentation text and tables, not Ruby code. The exception is the documented shell eval workflow, which is captured as a separate high-risk finding.
Низкий
Weak Cryptography Findings Are Terminology False Positives
The weak cryptography hits map to API documentation terms, enum values, field names, and Markdown content. No evidence found of hashing, encryption, or custom cryptographic implementation in the reviewed files.
Manual review of representative flagged lines shows API fields and status values rather than crypto operations. This makes the high static severity misleading for that pattern.
Capability review items (2)

These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.

Средний
Authenticated Network Requests and Mutating API Operations
The skill is designed to send authenticated requests to a user-configured ZenTao server and supports create, update, delete, and status transition actions. This is expected for the skill, but it can change project records and should require clear user confirmation.
The network call and many mutating curl examples are visible. The behavior is legitimate for this integration, but it raises operational risk when credentials are available.
Низкий
High Entropy Heuristic Appears Caused by Documentation Text
The high entropy heuristic points at normal shell script and Markdown files containing Chinese text and dense API references. No evidence found of encoded payloads, binary blobs, or encrypted content.
The flagged files are readable source and documentation. The confidence is below very high because entropy is a heuristic, but the reviewed context does not show obfuscation.

Факторы риска

Обнаруженные паттерны

Shell Eval Command Injection in Token SetupPersistent Plaintext ZenTao Token Cache

Оценка качества

45
Архитектура
100
Сопровождаемость
87
Контент
68
Сообщество
4
Безопасность
91
Соответствие спецификации

Что вы можете построить

Отслеживание работы спринта

Составлять список активных проектов, executions, назначенных задач, нерешенных ошибок и заблокированной работы из ZenTao.

Ведение бэклога продукта

Создавать, обновлять, закрывать или активировать stories, epics, требования, планы продуктов и релизы.

Координация тестирования

Управлять ошибками, тест-кейсами, тестовыми задачами, сборками и готовностью к релизу на основе данных ZenTao API.

Попробуйте эти промпты

Показать активную работу по проектам
Покажи мои активные проекты и executions в ZenTao. Включи открытые задачи и нерешенные ошибки, сгруппированные по проектам.
Создать подтвержденную ошибку
Создай ошибку ZenTao для product 12 с заголовком Вход не выполняется после сброса пароля. Используй открытую сборку trunk и severity 2. Попроси меня подтвердить перед созданием.
Обновить детали требования
Обнови story 345 новыми критериями приемки, которые я предоставлю. Сначала получи текущую story, сохрани неизмененные поля и подтверди итоговые изменения перед отправкой.
Проверить готовность релиза
Для product 8 проверь готовность релиза. Проверь открытые ошибки, активные требования, сборки, тестовые задачи и tickets. Суммируй блокеры и рекомендуемые следующие действия.

Лучшие практики

  • Используйте переменные окружения для ZenTao URL и учетных данных, а также обновляйте токены после использования на общем компьютере.
  • Подтверждайте каждое действие создания, обновления, удаления, закрытия, разрешения или активации перед отправкой запроса.
  • Получайте текущие сведения о записи перед обновлениями PUT, чтобы сохранить неизмененные обязательные поля.

Избегать

  • Не публикуйте текущий token helper без замены вывода eval на shell-safe exports.
  • Не храните долгоживущие токены ZenTao в общих домашних каталогах без строгих прав доступа к файлам.
  • Не отправляйте запросы на удаление или закрытие на основе расплывчатых prompts, в которых отсутствуют item IDs и подтверждение.

Часто задаваемые вопросы

К чему подключается этот навык?
Он подключается к серверу ZenTao через REST API v2.0, используя URL и token или учетные данные для входа.
Может ли он изменять записи ZenTao?
Да. Он может создавать, обновлять, удалять, закрывать, разрешать и активировать поддерживаемые записи ZenTao при наличии разрешения.
Нужен ли ему token ZenTao?
Да. Ему нужен ZENTAO_TOKEN или значения account и password, с помощью которых можно получить token.
Почему риск безопасности высокий?
Документированный рабочий процесс eval может выполнять неэкранированный вывод token helper, а helper хранит долгоживущие токены в открытом тексте.
Были ли найдены попытки prompt injection?
В проверенных файлах навыка не найдено свидетельств текста с попытками prompt injection.
Готово ли это к публикации в marketplace?
Нет. Token helper следует исправить и проверить перед публикацией.

Сведения для разработчиков

Автор

easysoft

Лицензия

MIT

Version

v1.0.0

Ссылка

main

Структура файлов