Навыки zentao-tour
📦

zentao-tour

v1.0.0 Средний риск ⚙️ Внешние команды🌐 Доступ к сети📁 Доступ к файловой системе

Изучайте ZenTao с помощью ролевых интерактивных туров

Новым пользователям ZenTao часто сложно связать концепции, команды и реальные рабочие процессы. Этот навык проводит их через ролевые туры с использованием zentao-cli и простого диалога.

Поддерживает: Claude Codex Code(CC)
🥉 77 Бронза

Этот навык входит в набор

Установите весь набор одной командой, чтобы получить все навыки для задачи.

1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Ресурсы для AI-агентов

Используйте эти ссылки, когда AI-агенту, crawler или script нужен чистый контекст вместо полной страницы.

Протестировать

Использование «zentao-tour». Я новичок в ZenTao и хочу посмотреть, что он умеет.

Ожидаемый результат:

Ассистент проверяет вашу активную учетную запись ZenTao, спрашивает, какая командная роль вам подходит, и запускает короткий интерактивный маршрут для этой роли.

Использование «zentao-tour». Покажи мне, как тестировщик работает в ZenTao.

Ожидаемый результат:

Ассистент помогает выбрать историю, подготовить тест-кейсы, создать тестовую задачу и продемонстрировать жизненный цикл ошибки с подтверждением перед изменениями.

Использование «zentao-tour». Мне нужен только управленческий обзор.

Ожидаемый результат:

Ассистент использует запросы только для чтения, чтобы суммировать активные проекты, состояние продукта, релизы, обратную связь или тикеты на основе выбранного вами фокуса.

Аудит безопасности

Средний риск
v2 • 6/29/2026

Static analysis reported many command, network, filesystem, weak-crypto, and entropy issues, but the command and entropy hits are mostly Markdown examples, Mermaid syntax, Chinese prose, and documentation links. The confirmed risk is legitimate but elevated: the skill asks an agent to run zentao-cli against a live ZenTao instance, including create, update, state transition, and delete operations after user confirmation.

7
Просканировано файлов
760
Проанализировано строк
8
Review items
0
False positives ignored
Capability review items (5)

These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.

Средний
Live ZenTao Data Mutation Through CLI Commands
The skill instructs the agent to create products, stories, plans, projects, executions, tasks, test cases, bugs, and to perform status transitions in a real ZenTao environment. The workflow requires user consent before write operations, so this is legitimate product behavior, but a mistaken confirmation could alter production project data.
The files contain explicit zentao-cli create, update, resolve, close, start, and finish examples. The risk is moderated because SKILL.md also requires consent before create, update, delete, and status-flow commands.
Средний
Credential And Token Handling In Setup Guidance
The onboarding guide shows ZenTao login commands, environment variables, token-based MCP configuration, and a local credential cache path. This is normal setup guidance, but users could expose credentials if they paste real secrets into shared prompts, logs, or configuration files with weak local permissions.
The documentation directly references passwords, tokens, environment variables, and local credential cache paths. I found no exfiltration behavior, so this remains a handling and disclosure risk rather than malicious activity.
Низкий
Static Command-Execution Findings Are Mostly Markdown Examples
The scanner classified Markdown backticks and command snippets as Ruby or shell backtick execution. These are documentation examples for zentao-cli and Mermaid diagrams, not embedded executable code in the skill package.
Manual review shows Markdown code fences and inline command text, not Ruby source or dynamic shell execution primitives. The commands are intended examples for an AI assistant to run only within the tour workflow.
Низкий
Hardcoded URLs Are Documentation And Example Endpoints
The hardcoded URLs point to the zentao-cli repository, ZenTao documentation, and a placeholder ZenTao server. I found no evidence that the skill sends hidden data to these URLs.
The reviewed URLs are visible documentation links or example configuration values. No hidden network call, webhook, or credential exfiltration instruction was found.
Низкий
Filesystem And Weak-Crypto Alerts Appear To Be False Positives
Filesystem alerts are caused by relative Markdown links and documented local configuration paths. Weak-cryptography and entropy alerts appear to be triggered by Markdown filenames, MCP configuration text, Chinese content, and dense command tables rather than cryptographic code or encoded payloads.
The cited lines are documentation references or benign config paths, and there is no code implementing cryptography or decoding payloads. The entropy score is consistent with non-English prose and compact CLI syntax.

Обнаруженные паттерны

State-Changing CLI OperationsToken And Password Configuration Examples

Оценка качества

55
Архитектура
100
Сопровождаемость
87
Контент
69
Сообщество
75
Безопасность
91
Соответствие спецификации

Что вы можете построить

Адаптация нового менеджера продукта

Преобразуйте идею продукта в продукт ZenTao, несколько историй и первый план продукта.

Практика процесса поставки

Создайте проект, добавьте спринт, разделите истории на задачи и просмотрите прогресс задач.

Изучение процесса обеспечения качества

Пройдите через тест-кейсы, ошибки, владение задачами, разрешение и закрытие.

Попробуйте эти промпты

Начать базовый тур
Проведи меня по ZenTao. Сначала проверь, готов ли zentao-cli, затем помоги выбрать подходящий ролевой маршрут.
Попробовать планирование продукта
Направляй меня как менеджера продукта. Помоги создать пример продукта, написать несколько историй и поместить их в план.
Пройти сценарий спринта
Проведи меня через рабочий процесс менеджера проекта в ZenTao. Используй существующий продукт, создай проект и спринт, затем раздели работу на задачи.
Просмотреть метрики для руководства
Используй представление руководителя, чтобы изучить темп проекта и состояние продукта. Оставь режим только для чтения и суммируй самые важные сигналы.

Лучшие практики

  • Используйте песочницу или демонстрационное рабочее пространство ZenTao для первых туров.
  • Подтверждайте каждую команду записи или удаления перед выполнением.
  • Не включайте токены и пароли в общие промпты, скриншоты и журналы.

Избегать

  • Не запускайте тур на производственных данных без резервных копий или разрешения.
  • Не вставляйте реальные пароли ZenTao в публичные или общие сеансы ассистента.
  • Не пропускайте выбор роли и не заставляйте каждого пользователя проходить один и тот же рабочий процесс.

Часто задаваемые вопросы

Для чего нужен этот навык?
Он помогает пользователям изучать ZenTao через интерактивные ролевые туры, использующие команды zentao-cli.
Требуется ли zentao-cli?
Да. Тур построен вокруг проверок zentao-cli, команд и дополнительной настройки MCP.
Может ли он изменить мои данные ZenTao?
Да. Некоторые ролевые туры создают или обновляют записи после подтверждения. Используйте демонстрационное рабочее пространство во время обучения.
Какие роли поддерживаются?
Он поддерживает менеджера продукта, менеджера проекта, тестировщика, разработчика, руководителя и гибкий исследовательский маршрут.
Является ли маршрут руководителя режимом только для чтения?
Да. Файл роли руководителя явно указывает, что маршрут предназначен только для чтения и не должен запускать действия создания, обновления или удаления.
Как следует обрабатывать учетные данные?
По возможности используйте безопасную локальную конфигурацию. Не делитесь паролями, токенами или кэшированными файлами учетных данных в промптах или журналах.

Сведения для разработчиков

Автор

easysoft

Лицензия

MIT

Version

v1.0.0

Ссылка

main

Структура файлов

📁 roles/

📄 dev.md

📄 executive.md

📄 pjm.md

📄 pm.md

📄 test.md

📄 overview.md

📄 SKILL.md