איך ציון האמון מחושב?

ציון האמון מחושב לפי 6 מדדים: איכות קוד (25%), הרשאות (20%), טיפול בנתונים (20%), מוניטין המפרסם (15%), תחזוקה (10%) ותיעוד (10%). כל סקיל מקבל ציון מ-0 עד 100.

מהן שכבות האבטחה?

Skills IL משתמשת בשלוש שכבות הגנה: סריקת קוד אוטומטית, בדיקת ספריות חיצוניות וביקורת אנושית של מומחים.

מה זה "חתימת הוצאה"?

חתימת הוצאה היא Sigstore attestation שנוצרת אוטומטית על ידי GitHub Actions בזמן הוצאת גרסה חדשה, בלי שימוש במפתחות ארוכי טווח. החתימה נרשמת ביומן Rekor הציבורי. המשמעות: אפשר לוודא שסקיל ספציפי נוצר על ידי הריפוזיטורי האמיתי ולא על ידי fork זדוני.

איך מוודאים סקיל לפני התקנה?

בעמוד של כל סקיל מוצג "כרטיס ניקוד אבטחה" עם 17 אותות מ-GitHub Security (סריקת סודות, סריקת קוד, הגנת ברנץ׳, ועוד). סקיל עם תג "מאומת ✓" עבר את חמשת האותות הקריטיים.

מה ההבדל בין זה לבין Tank scanner?

Tank סורק את תוכן הסקיל עצמו עבור סודות, פגיעויות ו-prompt injection. אימות GitHub בודק את הגדרות הרפוזיטורי ואת שלמות שרשרת האספקה (מי חתם על ההוצאה, האם התגים מוגנים). שני הכלים משלימים זה את זה.

אפשר להתקין סקיל בגרסה ספציפית?

כן — כש-signed_release עובר, פקודת ההתקנה מצביעה על תג גרסה ספציפי (למשל v1.2.3) במקום על master. זה מבטיח שלא תקבלו גרסה שונה אחרי שהתקנתם.

איך מדווחים על פגיעות?

שלחו דוח ל-security@agentskills.co.il.

האבטחה שלנו

כל סקיל עובר אצלנו שלוש בדיקות אבטחה לפני פרסום: סריקת קוד אוטומטית, בדיקת ספריות חיצוניות וסקירה אנושית. בניגוד למאגרים פתוחים כמו ClawHub, אצלנו שום דבר לא עולה בלי ביקורת.

איך אנחנו מאבטחים סקילס

כל סקיל עובר שלוש בדיקות עצמאיות לפני שמחושבים לו ציון ותג האמון: סריקת אבטחה עמוקה של Tank, אימות שרשרת אספקה מול המפרט של agentskills.io ואותות האבטחה של GitHub, וביקורת ידנית של הצוות של skills-il. פירוט של כל בדיקה מופיע למטה.

סריקה עמוקה ב-6 שלבים

כל סקיל עובר 6 שלבי בדיקה של Tank: מבידוד בסביבה מבודדת, דרך ניתוח קוד וזיהוי הזרקות, ועד סריקת כל הספריות החיצוניות.

בידוד בסביבת sandbox

הסקיל יורד ונכנס לסביבה מבודדת לפני שנוגעים בקוד

אימות מבנה

וידוא שמבנה החבילה תקין, הקבצים מהסוג הנכון והמניפסט שלם

ניתוח סטטי

סריקת הקוד עם Bandit ו-Semgrep לאיתור חולשות ותבניות מסוכנות

זיהוי הזרקות

איתור ניסיונות הזרקת פרומפט, השתלטות על הסוכן וניסיונות מניפולציה

גילוי סודות

חיפוש מפתחות API, סיסמאות ופרטי גישה שנחשפו בקוד

סריקת תלויות

בדיקת כל הספריות החיצוניות מול מאגר הפגיעויות של OSV

עובד עם Tank Security Scanner

אימות GitHub

כל סקיל בקטלוג נבדק מול המפרט הפתוח של agentskills.io בנוסף לבדיקות האבטחה של GitHub. התוצאות מופיעות בעמוד של הסקיל, בחלק של ציון אבטחה וגרסה. שרתי MCP עוברים תהליך אמון נפרד ולא נכללים באימות GitHub.

קריטי (5)

חמישה אותות חובה: תאימות למפרט, סריקת סודות, סריקת קוד, גרסה חתומה, ורישיון מוצהר. אם כולם עוברים, הסקיל מקבל את תג ה'מאומת' הירוק.

מומלץ (8)

שמונה אותות נוספים על מצב הרפו: הגנת תגים, הגנת ברנץ׳, קומיטים חתומים, SECURITY.md, MFA, CODEOWNERS, Dependabot ותאימות semver.

בונוס (2)

שני אותות נוספים: גרסה עדכנית (פחות מ-180 יום) ו-tree SHA של הגרסה תואם ל-HEAD של הברנץ׳ הראשי.

מה זה 'מאומת ✓'?

סקיל מקבל את התג רק כשחמשת האותות הקריטיים עוברים: חתימת Sigstore שנוצרה ב-workflow של GitHub Actions בארגון skills-il, סריקת סודות וסריקת קוד פעילות, ורישיון SPDX.

איך נאספים האותות

אותות הגרסה מתעדכנים בכל push. אותות הגדרות הרפו (סריקת סודות, סריקת קוד, MFA, הגנת ברנץ׳) מתעדכנים פעם בשבוע ב-workflow של GitHub Actions. תאימות למפרט נבדקת בעזרת `gh skill publish --dry-run` מול agentskills.io.

ההכרזה של GitHub על `gh skill` →

ביקורת ידנית

לפני שסקיל עולה לאתר, הצוות של skills-il עובר עליו ובודק תאימות למפרט, איכות תוכן ודגלים אדומים בולטים. זאת לא ביקורת אבטחה לעומק — Tank ואימות GitHub עושים את העבודה האוטומטית הכבדה — אלא שער אנושי אחרון לפני פרסום בקטלוג.

איך מחושב ציון האמון

ציון האמון מחושב לפי חמישה מדדים

ניתוח קוד

40%

בדיקת ספריות חיצוניות

20%

ביקורות מהקהילה

20%

תחזוקה

10%

תיעוד

10%

רמות אמון

רמה	טווח	תיאור
מאומת	90 - 100	עבר את כל הבדיקות כולל סקירה אנושית מלאה
אמין	70 - 89	עבר סריקות אוטומטיות וסקירה אנושית חלקית
קהילתי	50 - 69	עבר סריקות אוטומטיות בסיסיות, מחכה לסקירה מלאה
מאומת חלקית	0 - 49	עבר בדיקה בסיסית אבל עדיין עם מעט פעילות קהילתית ונתוני שימוש

מה מייחד אותנו

איך האבטחה שלנו נראית בהשוואה לפלטפורמות אחרות

תכונה	Skills IL	אחרים
ניתוח קוד סטטי	כן	מוגבל
סריקת ספריות חיצוניות	כן	חלקי
ביקורת אבטחה אנושית	כן	לא
מערכת ציון אמון	כן	לא
ביקורת תוכן בעברית	כן	לא
סריקה עמוקה ב-6 שלבים	כן	לא

דיווח על חולשות

מצאתם חולשת אבטחה? דווחו לנו ונטפל בזה.

דווחו על חולשה