技能 managing-workflow
📦
managing-workflow
中風險 ⚡
包含腳本📁
檔案系統存取🔑
環境變數⚙️
外部命令
管理規格驅動開發工作流程
功能開發經常會偏離需求、計畫、任務與審查關卡。此技能透過結構化工作流程與本機驗證指令碼,讓這些產物保持一致。
支援: Claude Code(CC)
1
下載技能 ZIP
2
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
3
開啟並開始使用
Agent 可讀資源
當 AI Agent、爬蟲或腳本需要乾淨脈絡、而不是讀取完整頁面時,請使用這些連結。
測試它
正在使用「managing-workflow」。 定義密碼重設電子郵件功能。
預期結果:
- 在 .spec/features 下建立功能資料夾。
- 規格包含使用者故事、驗收標準、限制條件和審查備註。
- 初始化指標,以便後續追蹤階段變更。
正在使用「managing-workflow」。 將目前功能移入實作。
預期結果:
- 此技能會驗證必要產物是否存在。
- 在實作開始前回報缺少的計畫或任務檔案。
- 驗證通過後,任務即可依相依順序執行。
正在使用「managing-workflow」。 封存已完成的功能。
預期結果:
- 功能狀態會更新為完成。
- 功能目錄會移到封存區域。
- 會回報下一個建議的工作流程動作。
安全審計
中風險v6 • 6/28/2026
The static report overstates risk because many high alerts are false positives from Markdown examples, relative imports, and template placeholders. The real risk is moderate: the skill intentionally runs local Node scripts and those scripts can read, write, or move files based on command arguments without strict path validation.
8
已掃描檔案
917
分析行數
8
發現
6
審計總數
中風險問題 (2)
Unrestricted Local File Modification Utilities
The helper scripts accept file paths or feature identifiers from command arguments and then read, write, or move files. This supports the intended .spec workflow, but missing path confinement could let a bad invocation modify files outside the expected workflow area.
Bash-Based Workflow Execution
The skill instructs the assistant to run local Node scripts through Bash for context loading, validation, status updates, logging, and archiving. This is legitimate for the workflow, but publication should warn users that the skill requires local command execution permissions.
低風險問題 (2)
Environment Variable Used for Project Directory Selection
The context loader reads CLAUDE_PROJECT_DIR and otherwise falls back to the current directory. I found no evidence that environment values are sent over the network or used to collect secrets, but a manipulated value could redirect workflow inspection.
scripts/archive-feature.js:5scripts/context-loader.js:5-6scripts/validate-phase.js:5-6SKILL.md:56-73
Static High-Risk Pattern Alerts Are Mostly False Positives
The reported weak cryptography and path traversal alerts mostly map to Markdown placeholders, status text, and relative imports to shared utilities. I found no evidence of cryptographic operations, obfuscation, network exfiltration, or prompt injection attempts in the reviewed files.
風險因素
⚡ 包含腳本 (5)
📁 檔案系統存取 (8)
🔑 環境變數 (1)
偵測到的模式
Command Argument Paths Used in File WritesFeature Identifier Used in Archive Path Construction
審計單位: codex 檢視審計紀錄 →
品質評分
45
架構
100
可維護性
87
內容
70
社群
51
安全
83
規範符合度
你可以打造什麼
規劃新功能
建立結構化規格、審查不明確的需求,並只在階段檢查通過後進入規劃。
控管實作準備度
在開始實作前,確認規格、計畫和任務清單都已存在。
追蹤並封存已完成工作
更新任務進度、記錄活動、標記完成,並封存已完成的功能產物。
試試這些提示
啟動功能
使用 managing-workflow 來定義新增使用者個人資料頭像的新功能。向我詢問任何缺少的範圍細節。
建立計畫
使用 managing-workflow 來審查目前的規格、解決任何澄清標籤,並建立技術計畫。
準備實作任務
使用 managing-workflow 來驗證目前的功能階段,並建立具有優先順序和相依性的實作任務。
驗證並封存
使用 managing-workflow 來確認所有任務都已完成、更新工作流程狀態、記錄最終活動,並在核准後封存該功能。
最佳實務
- 在核准下一階段前,先審查每個產生的產物。
- 保持功能識別碼簡單,並限制為預期的 .spec 功能名稱。
- 在實作和完成轉換前執行驗證。
避免
- 不要從粗略想法直接跳到實作。
- 不要將任意檔案系統路徑傳入輔助指令碼。
- 任務仍未勾選完成時,不要將功能標記為完成。
常見問題
此技能解決什麼問題?
它會在功能開發期間,讓需求、計畫、任務、狀態和封存步驟保持一致。
它會寫入檔案嗎?
是。它會在專案內建立和更新工作流程產物,通常位於 .spec 目錄下。
它需要執行命令嗎?
是。此工作流程會透過 Bash 使用本機 Node 指令碼來載入情境、驗證、記錄和封存。
它可以與 Claude Code 一起使用嗎?
是。它專為 Claude 風格工具,以及具備檔案和 Bash 存取權的本機專案工作流程而設計。
它會取代專案管理軟體嗎?
否。它管理本機規格產物,不會與外部票務或 CI 系統同步。
使用者在發布前應審查什麼?
使用者應審查檔案系統權限,並且只使用受信任的 .spec 路徑執行輔助指令碼。
開發者詳細資訊
授權
MIT
引用
main
檔案結構