/ الدليل / الملعب / repo-forensics
← كل الخوادم ↗ GitHub
● مجتمع alexgreensh ⚡ فوري

repo-forensics

بواسطة alexgreensh · alexgreensh/repo-forensics

18 ماسحة دفاعية تفحص مستودع أو مهارة أو خادم MCP أو مكون إضافي بحثاً عن حقن الموجهات والأسرار وخطافات دورة الحياة والتزوير الإملائي وآثار التلاعب قبل التثبيت.

Repo-forensics هي أداة تدقيق دفاعية موجهة نحو حل مشكلة "لا أحد يفعل ذلك": فحص الكود من طرف ثالث قبل تثبيته بوصول كامل النظام. تغطي 18 ماسحة متوازية الديناميكية وقت التشغيل، وانحراف البيان، وحقن الموجهات في SKILL.md، وتسميم أداة MCP، واختبار الأمان الديناميكي لنصوص الخطافات، والأسرار، واختبار الأمان الثابت، وتحليل بنية التجريد، والتزوير الإملائي للتبعيات، وخطافات دورة الحياة، وحمولات الإنتروبيا، وعدم الاستقرار في البنية التحتية كالكود، والتنكر الثنائي، وآثار ما بعد الحادث، والتزوير في التزام git. بدون تبعيات.

▶ شاهد العرض 📦 التثبيت 💡 حالات الاستخدام

لماذا تستخدمه

الميزات الأساسية

عرض مباشر

كيف يبدو في الممارسة

repo-forensics-skill.replay ▶ جاهز
0/0

التثبيت

اختر العميل

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "repo-forensics-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/alexgreensh/repo-forensics",
        "~/.claude/skills/repo-forensics"
      ],
      "_inferred": true
    }
  }
}

افتح Claude Desktop → Settings → Developer → Edit Config. أعد التشغيل بعد الحفظ.

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "repo-forensics-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/alexgreensh/repo-forensics",
        "~/.claude/skills/repo-forensics"
      ],
      "_inferred": true
    }
  }
}

يستخدم Cursor نفس مخطط mcpServers مثل Claude Desktop. إعدادات المشروع أولى من الإعدادات العامة.

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "repo-forensics-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/alexgreensh/repo-forensics",
        "~/.claude/skills/repo-forensics"
      ],
      "_inferred": true
    }
  }
}

انقر على أيقونة MCP Servers في شريط Cline الجانبي، ثم "Edit Configuration".

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "repo-forensics-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/alexgreensh/repo-forensics",
        "~/.claude/skills/repo-forensics"
      ],
      "_inferred": true
    }
  }
}

نفس الصيغة مثل Claude Desktop. أعد تشغيل Windsurf لتطبيق التغييرات.

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "repo-forensics-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/alexgreensh/repo-forensics",
        "~/.claude/skills/repo-forensics"
      ]
    }
  ]
}

يستخدم Continue مصفوفة من كائنات الخادم بدلاً من خريطة.

~/.config/zed/settings.json
{
  "context_servers": {
    "repo-forensics-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/alexgreensh/repo-forensics",
          "~/.claude/skills/repo-forensics"
        ]
      }
    }
  }
}

أضف إلى context_servers. يعيد Zed التحميل تلقائيًا عند الحفظ.

claude mcp add repo-forensics-skill -- git clone https://github.com/alexgreensh/repo-forensics ~/.claude/skills/repo-forensics

أمر من سطر واحد. تحقق باستخدام claude mcp list. احذف باستخدام claude mcp remove.

حالات الاستخدام

استخدامات عملية: repo-forensics

تدقيق مهارة من طرف ثالث قبل استنساخها في ~/.claude/skills

👤 أي شخص يثبت مهارات من غرباء على GitHub ⏱ ~15 min beginner

متى تستخدمه: أرسل لك شخص ما رابط مهارة تبدو رائعة. قبل الاستنساخ، تريد أن تعرف ما إذا كانت آمنة.

المتطلبات الأساسية
  • repo-forensics مثبتة — git clone https://github.com/alexgreensh/repo-forensics ~/.claude/skills/repo-forensics
الخطوات
  1. أشر إلى عنوان URL للمستودع المستهدف
    استخدم repo-forensics. امسح https://github.com/<author>/<skill> باستخدام ماسحات skill_threats وsecrets وdataflow وlifecycle. اعرض النتائج.✓ تم النسخ
    → تقرير لكل ماسحة مع علامات الخطورة
  2. اقرأ النتائج المرتبطة
    أي ارتباطات عبر الماسحات — على سبيل المثال، مسار تسرب سر زائد خطاف دورة حياة؟✓ تم النسخ
    → ملخص الارتباط

النتيجة: قرار المضي قدماً أو عدم المضي مستند إلى مخرجات الماسحة، وليس على الانطباعات.

المزالق
  • الوثوق بالماسحة الخضراء كإثبات كامل للأمان — الماسحات توفر حد أدنى قوي، وليس حد أقصى — اقرأ SKILL.md على أي حال
اجمعها مع: github · filesystem

تدقيق خادم MCP لاكتشاف تسميم الأدوات وأنماط سحب البساط

👤 الفرق التي تدمج MCP جديد في مكدس وكيل إنتاجي ⏱ ~20 min intermediate

متى تستخدمه: قبل إضافة خادم MCP جديد إلى وكيل له أذونات حقيقية.

الخطوات
  1. شغل الماسحات المركزة على MCP
    امسح مستودع خادم MCP هذا باستخدام mcp_security وskill_threats وintegrity وdast.✓ تم النسخ
    → النتائج المركزة على وصفات الأدوات وسكريبتات التثبيت
  2. تحقق من سجل git للتزوير الهوياتي
    شغل git_forensics على نفس المستودع — هل هناك التزامات مزيفة؟✓ تم النسخ
    → تحليل المؤلف / التوقيع

النتيجة: ملف أمان MCP قبل توصيله بوكيلك.

شغل الماسحات بعد الحادث بعد تثبيت مريب

👤 أي شخص قام للتو بتشغيل npm/pip install ويشعر بالقلق ⏱ ~15 min intermediate

متى تستخدمه: انتهى التثبيت بسلوك غير متوقع؛ تريد أن تعرف ما إذا كان شيء قد هبط.

الخطوات
  1. شغل فحصات post_incident وentropy
    شغل ماسحة post_incident على ~/.npm والمشروع الحالي. كما قم بفحص entropy للحزم المثبتة.✓ تم النسخ
    → علامات للقطع المؤقتة المريبة أو الحمولات المرمزة

النتيجة: أدلة حول ما إذا كان يجب تدوير الأسرار وإعادة البناء.

المزالق
  • تشغيل الفحصات من shell قد يكون معرضاً للاختراق — شغل من shell جديد أو من آلة أخرى عند الشك

التركيبات

اجمعها مع خوادم MCP أخرى لتحقيق نتائج x10

repo-forensics-skill + github

اسحب diff طلب الدمج وامسح الملفات المضافة فقط

اجلب PR #123 وشغل repo-forensics فقط على الملفات التي تضيفها.✓ تم النسخ
repo-forensics-skill + filesystem

امسح مستودع مستنسخ محلياً وحفظ تقرير JSON

امسح ./suspicious-repo واكتب findings.json بجانبه.✓ تم النسخ

الأدوات

ما يوفره هذا الـ MCP

الأداةالمدخلاتمتى تستدعيهاالتكلفة
skill_threats repo path أي تدقيق مهارة 0
mcp_security repo path تدقيقات MCP 0
secrets repo path دائماً 0
dataflow repo path مخاوف الخروج المريبة 0
lifecycle repo path قبل التثبيت 0
git_forensics repo path التحقق من هوية المشرف 0
entropy repo path الإخفاء المشبوه 0
sast repo path خطر الكود العام 0

التكلفة والحدود

تكلفة التشغيل

حصة API
بدون حد
الرموز لكل استدعاء
معتدل — قد يزيد ملخص مخرجات الماسحة
التكلفة المالية
مجاني
نصيحة
شغل الماسحات ذات الصلة بنموذج التهديد فقط (skills → skill_threats; MCP → mcp_security)

الأمان

الصلاحيات والأسرار ونطاق الأثر

تخزين بيانات الاعتماد: بدون — الماسحة للقراءة فقط
نقل البيانات الخارجي: محلي فقط بشكل افتراضي
لا تمنح أبدًا: إمكانية الكتابة إلى المستودع قيد التدقيق

استكشاف الأخطاء

الأخطاء الشائعة وحلولها

تقرير الماسحة عن 0 نتائج على مستودع مريب بوضوح

تأكد من أنك قمت بالتشغيل على المسار الكامل للمستودع، وليس على مجموعة فرعية؛ تحقق من اختيار الماسحة

تحقق: repo-forensics list-scanners
الإيجابيات الكاذبة تغمر التقرير

صفّ حسب الخطورة؛ ركّز على high/critical؛ استخدم الارتباط للأولويات

البدائل

repo-forensics مقابل البدائل

البديلمتى تستخدمهاالمقايضة
claude-cybersecurityيحتاج الكود إلى مراجعة أمان تطبيق بنمط OWASP بدلاً من فحص سلسلة التوريدتركيز مختلف — منطق التطبيق مقابل تهديدات وقت التثبيت
gitleaks / trufflehogتحتاج فقط إلى فحص الأسرارماسحة واحدة، بدون ارتباط

المزيد

الموارد

📖 اقرأ ملف README الرسمي على GitHub

🐙 تصفح القضايا المفتوحة

🔍 تصفح أكثر من 400 خادم MCP و Skills