[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"tool-gemini-cli-extensions--security":3,"similar-gemini-cli-extensions--security":101},{"id":4,"github_repo":5,"name":6,"description_en":7,"description_zh":8,"ai_summary_zh":8,"readme_en":9,"readme_zh":10,"quickstart_zh":11,"use_case_zh":12,"hero_image_url":13,"owner_login":14,"owner_name":15,"owner_avatar_url":16,"owner_bio":17,"owner_company":18,"owner_location":18,"owner_email":18,"owner_twitter":18,"owner_website":18,"owner_url":19,"languages":20,"stars":29,"forks":30,"last_commit_at":31,"license":32,"difficulty_score":33,"env_os":34,"env_gpu":34,"env_ram":34,"env_deps":35,"category_tags":40,"github_topics":42,"view_count":33,"oss_zip_url":18,"oss_zip_packed_at":18,"status":46,"created_at":47,"updated_at":48,"faqs":49,"releases":80},7745,"gemini-cli-extensions\u002Fsecurity","security","Google's Security extension for the Gemini CLI that finds vulnerabilities in your code changes and pull requests.","Security 是 Google 为 Gemini CLI 打造的一款开源安全扩展，旨在帮助开发者在代码提交前智能识别潜在风险。它主要解决了传统安全审计滞后、依赖包漏洞难以及时发现等痛点，让安全防护自然融入日常开发流程。\n\n这款工具特别适合使用 Git 和命令行环境的软件开发者及工程团队。其核心亮点在于结合了 Gemini 强大的 AI 理解能力与专业的漏洞扫描技术：一方面，它能针对 Pull Request 中的代码变更进行上下文感知的深度分析，精准定位逻辑漏洞；另一方面，内置集成的 OSV-Scanner 可自动比对全球开源漏洞数据库，快速排查项目依赖项中的已知安全隐患。\n\n用户只需在终端运行简单命令，即可生成智能化的安全报告，支持通过自然语言自定义分析范围或输出 JSON 格式数据。需要注意的是，Security 提供的是高效的初步筛查而非完整的安全审计，建议将其作为多层防御体系中的一环，配合人工复核与其他专业工具共同使用，从而以更低的成本提升项目的整体安全水位。","# Gemini CLI Security Extension\n\nThe Security extension is an open-source Gemini CLI extension, built to enhance your repository's security posture. The extension adds a new command to Gemini CLI that analyzes code changes to identify a variety of security risks and vulnerabilities.\n\n![Security Extension Workflow](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002Fgemini-cli-extensions_security_readme_af66aeaf73de.gif)\n\n## Features\n\n- **AI-powered security analysis**: Leverages Gemini's advanced capabilities to provide intelligent and context-aware security analysis.\n- **Focused analysis**: Specifically designed to analyze code changes within pull requests, helping to identify and address vulnerabilities early in the development process.\n- **Open source**: The extension is open source and distributed under the Apache 2.0 license.\n- **Integrated with Gemini CLI**: As a Google-developed extension, it integrates seamlessly into the Gemini CLI environment, making security an accessible part of your workflow.\n- **Expandable scope**: The extension is designed with an extensible architecture, allowing for future expansion of detected security risks and more advanced analysis techniques.\n- **Dependency scans**: Identifies known vulnerabilities affecting your project's dependencies using [OSV-Scanner](https:\u002F\u002Fgithub.com\u002Fgoogle\u002Fosv-scanner).\n\n## Installation\n\nInstall the Security extension by running the following command from your terminal *(requires Gemini CLI v0.4.0 or newer)*:\n\n```bash\ngemini extensions install https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\n```\n\n## Use the extension\n\nThe Security extension adds the `\u002Fsecurity:analyze` command to Gemini CLI which analyzes code changes on your current branch for common security vulnerabilities and provides an intelligent, Gemini-powered security report to improve the repository's security posture.\n\nImportant: This report is a first-pass analysis, not a complete security audit. Use in combination with other tools and manual review.\n\nNote: The \u002Fsecurity:analyze command is currently designed for interactive use. Support for non-interactive sessions is planned for a future release (tracked in [issue #20](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues\u002F20)).\n\n### Customize the `\u002Fsecurity:analyze` command\n\nBy default, the `\u002Fsecurity:analyze` command determines the scope of the analysis using `git diff --merge-base origin\u002FHEAD`. However, to customize the scope, you can add instructions to the command using natural language. For example, to analyze all files in `scripts` folder, you can run the command as\n```bash\n\u002Fsecurity:analyze Analyze all the source code under the script folder. Skip the docs, config files and package files.\n```\n\nTo get the security report in JSON format, you can use the `--json` flag or request JSON output using natural language:\n```bash\n\u002Fsecurity:analyze --json\n```\n\nOr alternatively:\n```bash\n\u002Fsecurity:analyze Return the report in JSON format.\n```\n\n![Customize analysis command](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002Fgemini-cli-extensions_security_readme_091308c3eaaf.gif)\n\n### Scan for vulnerable dependencies\n\nModern software is built on open-source dependencies, but this can introduce security risks if a dependency contains vulnerabilities.\n\nRegularly running a dependency scan is a critical step in securing your software supply chain and protecting your project from well-known attack vectors.\n\nThe `\u002Fsecurity:scan-deps` command automates this process by integrating [OSV-Scanner](https:\u002F\u002Fgithub.com\u002Fgoogle\u002Fosv-scanner), a tool that cross-references your project's dependencies with [OSV.dev](https:\u002F\u002Fosv.dev\u002F), a Google-maintained, open-source vulnerability database. OSV.dev provides precise vulnerability data by aggregating information from a wide range of open-source ecosystems, ensuring comprehensive and reliable security advisories.\n\nTo run a dependency scan, use the following command:\n```bash\n\u002Fsecurity:scan-deps\n```\n\nAfter running the command, you will receive a report listing:\n- **Which dependencies are vulnerable.**\n- **Details about the specific vulnerabilities**, including their severity and identifiers.\n- **Guidance on how to remediate the issues**, such as which version to upgrade to.\n\n## GitHub Integration\n\n### I already use [run-gemini-cli](https:\u002F\u002Fgithub.com\u002Fgoogle-github-actions\u002Frun-gemini-cli) workflows in my repository:\n\n* Replace your existing `gemini-review.yml` with this [updated workflow](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fblob\u002Fmain\u002F.github\u002Fworkflows\u002Fgemini-review.yml), which includes the new Security Analysis step.\n\n### I don't use [run-gemini-cli](https:\u002F\u002Fgithub.com\u002Fgoogle-github-actions\u002Frun-gemini-cli) workflows in my repository yet:\n\n1. Integrate the Gemini CLI Security Extension into your GitHub workflow to analyze incoming code:\n\n2. Follow Steps 1-3 in this [Quick Start](https:\u002F\u002Fgithub.com\u002Fgoogle-github-actions\u002Frun-gemini-cli?tab=readme-ov-file#quick-start).\n\n3. Create a `.github\u002Fworkflows` directory in your repository's root (if it doesn't already exist).\n\n4. Copy this [Example Workflow](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fblob\u002Fmain\u002F.github\u002Fworkflows\u002Fgemini-review.yml) into the `.github\u002Fworkflows` directory. See the run-gemini-cli [configuration](https:\u002F\u002Fgithub.com\u002Fgoogle-github-actions\u002Frun-gemini-cli?tab=readme-ov-file#configuration) to make changes to the workflow.\n\n5. Ensure the new workflow file is committed and pushed to GitHub.\n\n6. Open a new pull request, or comment `@gemini-cli \u002Freview` on an existing PR, to run the Gemini CLI Code Review along with Security Analysis.\n\n## Benchmark\n\nTo evaluate the quality and effectiveness of our security analysis, we benchmarked the extension against a real-world dataset of known vulnerabilities.\n\n### Methodology\n\nOur evaluation process is designed to test the extension's ability to identify vulnerabilities in code changes.\n\n1. **Dataset**: We used the [OpenSSF CVE Benchmark](https:\u002F\u002Fgithub.com\u002Fossf-cve-benchmark\u002Fossf-cve-benchmark), a dataset containing GitHub repositories of real applications in TypeScript \u002F JavaScript. For each vulnerability, the dataset provides the commit containing the vulnerable code (`prePatch`) and the commit where the vulnerability was fixed (`postPatch`).\n2. **Analysis Target**: For each CVE, we set up the repository, found the introducing patch with the help of [archeogit](https:\u002F\u002Fgithub.com\u002Fsamaritan\u002Farcheogit), and added that patch to our local environment.\n3. **Report Generation**: We ran the `\u002Fsecurity:analyze` command on this diff to generate a security report.\n4. **Validation**: Since the dataset has a small number of repositories, we manually reviewed all the generated security reports and compared with the ground truth to calculate the final precision and recall numbers.\n\nWe are now actively working to automate the evaluation framework and enrich our datasets by adding new classes of vulnerabilities.\n\n### Results\n\nOur evaluation on this dataset yielded a precision of **90%** and a recall of **93%**.\n\n* **Precision (90%)** measures the accuracy of our detections. Of all the potential vulnerabilities the extension identified, 90% were actual security risks.\n* **Recall (93%)** measures the completeness of our coverage. The extension successfully identified 93% of all the known vulnerabilities present in the dataset.\n\n## Types of vulnerabilities\n\nThe Security extension scans files for the following vulnerabilities:\n\n### Secrets management\n\n- **Hardcoded secrets**: Credentials such as API keys, private keys, passwords and connection strings, and symmetric encryption keys embedded directly in the source code\n\n### Insecure data handling\n\n- **Weak cryptographic algorithms**: Weak or outdated cryptographic algorithms, including any instances of DES, Triple DES, RC4, or ECB mode in block ciphers\n- **Logging of sensitive information**: Logging statements that might write passwords, PII, API keys, or session tokens to application or system logs\n- **Personally identifiable information (PII) handling violations**: Improper storage, insecure transmission, or any use of PII that may violate data privacy regulations\n- **Insecure deserialization**: Code that deserializes data from untrusted sources without proper validation, which could allow an attacker to execute arbitrary code\n\n### Injection vulnerabilities\n\n- **Cross-site scripting (XSS)**: Instances where unsanitized or improperly escaped user input is rendered directly into HTML, which could allow for script execution in a user's browser\n- **SQL injection (SQLi)**: Database queries that are constructed by concatenating strings with raw, un-parameterized user input\n- **Command injection**: Code that executes system commands or cloud functions using user-provided input without proper sanitization\n- **Server-side request forgery (SSRF)**: Code that makes network requests to URLs provided by users without validation, which could allow an attacker to probe internal networks or services\n- **Server-side template injection (SSTI)**:  Instances where user input is directly embedded into a server-side template before it is rendered\n\n### Authentication\n\n- **Authentication bypass**: Improper session validation, insecure \"remember me\" functionality, or custom authentication endpoints that lack brute-force protection\n- **Weak or predictable session tokens**: Tokens that are predictable, lack sufficient entropy, or are generated from user-controllable data\n- **Insecure password reset**: Predictable reset tokens, leakage of tokens in logs or URLs, and insecure confirmation of a user's identity\n\n## LLM Safety\n- **Insecure Prompt Handling (Prompt Injection)**: Analyzes how prompts are constructed to identify risks from untrusted user data, which could lead to prompt injection attacks. This can also include embedding sensitive information (API Keys, credentials, PII) directly within the code used to generate the prompt or the prompt itself.\n- **Improper Output Handling**: Detects when LLM-generated content is used unsafely, leading to vulnerabilities like Cross-Site Scripting (XSS), SQL Injection (SQLi), or the remote execution of code via functions like `eval()`. Also flags code where security-sensitive decisions are based on unvalidated LLM output.\n- **Insecure Plugin and Tool Usage**: Scans for vulnerabilities in how the LLM interacts with external tools, flagging overly permissive tools or unsafe data flows that could be exploited by malicious output.\n\n## Resources\n\n- [Gemini CLI extensions](https:\u002F\u002Fgithub.com\u002Fgoogle-gemini\u002Fgemini-cli\u002Fblob\u002Fmain\u002Fdocs\u002Fextensions\u002Findex.md): Documentation about using extensions in Gemini CLI\n- Blog post (coming soon!): More information about the Security extension\n- [GitHub issues](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues): Report bugs or request features\n\n## Legal\n\n- License: [Apache License 2.0](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fblob\u002Fmain\u002FLICENSE)\n- Security: [Security Policy](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fblob\u002Fmain\u002FSECURITY.md)\n\n## Star history\n\n[![Star History Chart](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002Fgemini-cli-extensions_security_readme_e9ec52665cf1.png)](https:\u002F\u002Fwww.star-history.com\u002F#gemini-cli-extensions\u002Fsecurity&Date)\n","# Gemini CLI 安全扩展\n\n安全扩展是一个开源的 Gemini CLI 扩展，旨在提升您代码库的安全性。该扩展为 Gemini CLI 添加了一个新命令，用于分析代码变更，以识别各种安全风险和漏洞。\n\n![安全扩展工作流](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002Fgemini-cli-extensions_security_readme_af66aeaf73de.gif)\n\n## 功能特性\n\n- **AI 驱动的安全分析**：利用 Gemini 的先进能力，提供智能且上下文感知的安全分析。\n- **专注的分析**：专门设计用于分析拉取请求中的代码变更，帮助在开发流程早期识别并修复漏洞。\n- **开源**：该扩展是开源的，并根据 Apache 2.0 许可证进行分发。\n- **与 Gemini CLI 集成**：作为 Google 开发的扩展，它能无缝集成到 Gemini CLI 环境中，使安全性成为您工作流中易于访问的一部分。\n- **可扩展的范围**：该扩展采用可扩展的架构设计，允许未来扩展检测到的安全风险以及更高级的分析技术。\n- **依赖项扫描**：使用 [OSV-Scanner](https:\u002F\u002Fgithub.com\u002Fgoogle\u002Fosv-scanner) 识别影响您项目依赖项的已知漏洞。\n\n## 安装\n\n通过在终端运行以下命令来安装安全扩展 *(需要 Gemini CLI v0.4.0 或更高版本)*：\n\n```bash\ngemini extensions install https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\n```\n\n## 使用扩展\n\n安全扩展为 Gemini CLI 添加了 `\u002Fsecurity:analyze` 命令，该命令会分析当前分支上的代码变更，查找常见的安全漏洞，并生成由 Gemini 提供支持的智能安全报告，以提升代码库的安全态势。\n\n重要提示：此报告仅为初步分析，并非完整的安全审计。请结合其他工具及人工审查使用。\n\n注意：目前 `\u002Fsecurity:analyze` 命令专为交互式使用而设计。对非交互式会话的支持计划在未来的版本中实现（相关进展可在 [issue #20](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues\u002F20) 中跟踪）。\n\n### 自定义 `\u002Fsecurity:analyze` 命令\n\n默认情况下，`\u002Fsecurity:analyze` 命令会使用 `git diff --merge-base origin\u002FHEAD` 来确定分析范围。然而，您可以通过自然语言向命令添加指令来自定义分析范围。例如，要分析 `scripts` 文件夹中的所有文件，您可以运行以下命令：\n```bash\n\u002Fsecurity:analyze 分析 script 文件夹下的所有源代码。跳过文档、配置文件和包文件。\n```\n\n若需以 JSON 格式获取安全报告，可以使用 `--json` 标志，或用自然语言请求 JSON 输出：\n```bash\n\u002Fsecurity:analyze --json\n```\n\n或者：\n```bash\n\u002Fsecurity:analyze 以 JSON 格式返回报告。\n```\n\n![自定义分析命令](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002Fgemini-cli-extensions_security_readme_091308c3eaaf.gif)\n\n### 扫描易受攻击的依赖项\n\n现代软件通常基于开源依赖构建，但如果这些依赖项存在漏洞，则可能带来安全风险。\n\n定期运行依赖项扫描是确保软件供应链安全、保护项目免受已知攻击向量侵害的关键步骤。\n\n`\u002Fsecurity:scan-deps` 命令通过集成 [OSV-Scanner](https:\u002F\u002Fgithub.com\u002Fgoogle\u002Fosv-scanner) 自动化这一过程。OSV-Scanner 是一款工具，可将您的项目依赖项与由 Google 维护的开源漏洞数据库 [OSV.dev](https:\u002F\u002Fosv.dev\u002F) 进行交叉引用。OSV.dev 通过聚合来自广泛开源生态系统的漏洞信息，提供精确的漏洞数据，从而确保全面且可靠的安全公告。\n\n要运行依赖项扫描，请使用以下命令：\n```bash\n\u002Fsecurity:scan-deps\n```\n\n运行该命令后，您将收到一份报告，列出：\n- **哪些依赖项存在漏洞。**\n- **具体漏洞的详细信息**，包括其严重程度和标识符。\n- **修复问题的指导建议**，例如应升级到哪个版本。\n\n## GitHub 集成\n\n### 我的仓库已经在使用 [run-gemini-cli](https:\u002F\u002Fgithub.com\u002Fgoogle-github-actions\u002Frun-gemini-cli) 工作流：\n\n* 将您现有的 `gemini-review.yml` 替换为此[更新的工作流](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fblob\u002Fmain\u002F.github\u002Fworkflows\u002Fgemini-review.yml)，其中包含了新的安全分析步骤。\n\n### 我的仓库尚未使用 [run-gemini-cli](https:\u002F\u002Fgithub.com\u002Fgoogle-github-actions\u002Frun-gemini-cli) 工作流：\n\n1. 将 Gemini CLI 安全扩展集成到您的 GitHub 工作流中，以分析传入的代码：\n\n2. 按照此[快速入门](https:\u002F\u002Fgithub.com\u002Fgoogle-github-actions\u002Frun-gemini-cli?tab=readme-ov-file#quick-start)中的步骤 1–3 操作。\n\n3. 在您的仓库根目录下创建一个 `.github\u002Fworkflows` 目录（如果尚不存在）。\n\n4. 将此[示例工作流](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fblob\u002Fmain\u002F.github\u002Fworkflows\u002Fgemini-review.yml)复制到 `.github\u002Fworkflows` 目录中。请参阅 run-gemini-cli 的[配置](https:\u002F\u002Fgithub.com\u002Fgoogle-github-actions\u002Frun-gemini-cli?tab=readme-ov-file#configuration)，以便对工作流进行修改。\n\n5. 确保将新的工作流文件提交并推送到 GitHub。\n\n6. 打开一个新的拉取请求，或在现有 PR 上评论 `@gemini-cli \u002Freview`，以同时运行 Gemini CLI 代码评审和安全分析。\n\n## 基准测试\n\n为评估我们安全分析的质量和有效性，我们基于一组真实的已知漏洞数据集对该扩展进行了基准测试。\n\n### 方法论\n\n我们的评估流程旨在测试扩展识别代码变更中漏洞的能力。\n\n1. **数据集**：我们使用了 [OpenSSF CVE 基准测试](https:\u002F\u002Fgithub.com\u002Fossf-cve-benchmark\u002Fossf-cve-benchmark)，该数据集包含使用 TypeScript \u002F JavaScript 编写的实际应用程序的 GitHub 仓库。对于每个漏洞，该数据集提供了包含漏洞代码的提交（`prePatch`）以及修复该漏洞的提交（`postPatch`）。\n2. **分析目标**：针对每个 CVE，我们克隆了相应的仓库，在 [archeogit](https:\u002F\u002Fgithub.com\u002Fsamaritan\u002Farcheogit) 的帮助下找到引入漏洞的补丁，并将其应用到本地环境中。\n3. **生成报告**：我们在此差异上运行了 `\u002Fsecurity:analyze` 命令，以生成安全报告。\n4. **验证**：由于数据集中的仓库数量较少，我们手动审查了所有生成的安全报告，并与真实情况对比，以计算最终的精确率和召回率。\n\n我们目前正在积极努力自动化评估框架，并通过添加新型漏洞类别来丰富我们的数据集。\n\n### 结果\n\n我们在该数据集上的评估结果为：精确率 **90%**，召回率 **93%**。\n\n* **精确率（90%）** 衡量的是我们检测的准确性。扩展程序识别出的所有潜在漏洞中，有 90% 确实是实际的安全风险。\n* **召回率（93%）** 衡量的是我们覆盖的完整性。扩展程序成功识别出了数据集中所有已知漏洞中的 93%。\n\n## 漏洞类型\n\nSecurity 扩展会扫描文件中存在的以下漏洞：\n\n### 密钥管理\n\n- **硬编码密钥**：直接嵌入在源代码中的凭据，如 API 密钥、私钥、密码和连接字符串，以及对称加密密钥。\n\n### 不安全的数据处理\n\n- **弱加密算法**：使用弱或过时的加密算法，包括任何使用 DES、Triple DES、RC4 或分组密码中的 ECB 模式的情况。\n- **敏感信息的日志记录**：可能将密码、PII、API 密钥或会话令牌写入应用程序或系统日志的日志语句。\n- **个人身份信息（PII）处理违规**：不当存储、不安全传输，或任何可能违反数据隐私法规的 PII 使用行为。\n- **不安全的反序列化**：从不可信来源反序列化数据而未进行适当验证的代码，这可能导致攻击者执行任意代码。\n\n### 注入型漏洞\n\n- **跨站脚本攻击（XSS）**：未经净化或未正确转义的用户输入直接渲染到 HTML 中，从而可能在用户的浏览器中执行脚本。\n- **SQL 注入（SQLi）**：通过拼接原始、未参数化的用户输入来构造数据库查询。\n- **命令注入**：使用未经适当净化的用户输入执行系统命令或云函数的代码。\n- **服务器端请求伪造（SSRF）**：在未验证的情况下向用户提供的 URL 发起网络请求的代码，这可能使攻击者探测内部网络或服务。\n- **服务器端模板注入（SSTI）**：用户输入直接嵌入到服务器端模板中后再进行渲染的情况。\n\n### 身份认证\n\n- **认证绕过**：会话验证不当、不安全的“记住我”功能，或缺乏防暴力破解保护的自定义认证端点。\n- **弱或可预测的会话令牌**：令牌具有可预测性、熵不足，或由用户可控的数据生成。\n- **不安全的密码重置**：重置令牌可预测、令牌泄露到日志或 URL 中，以及对用户身份确认不安全等情况。\n\n## LLM 安全\n\n- **不安全的提示处理（提示注入）**：分析提示的构造方式，以识别来自不可信用户数据的风险，这些风险可能导致提示注入攻击。这也可能包括将敏感信息（API 密钥、凭据、PII）直接嵌入用于生成提示的代码或提示本身中。\n- **不当的输出处理**：检测 LLM 生成的内容是否被不安全地使用，从而导致诸如跨站脚本攻击（XSS）、SQL 注入（SQLi）或通过 `eval()` 等函数远程执行代码等漏洞。同时还会标记那些基于未经验证的 LLM 输出做出安全相关决策的代码。\n- **不安全的插件和工具使用**：扫描 LLM 与外部工具交互过程中存在的漏洞，标记过于宽松的工具或可能被恶意输出利用的不安全数据流。\n\n## 资源\n\n- [Gemini CLI 扩展](https:\u002F\u002Fgithub.com\u002Fgoogle-gemini\u002Fgemini-cli\u002Fblob\u002Fmain\u002Fdocs\u002Fextensions\u002Findex.md)：关于在 Gemini CLI 中使用扩展的文档。\n- 博客文章（即将发布！）：更多关于 Security 扩展的信息。\n- [GitHub 问题](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues)：报告错误或请求功能。\n\n## 法律声明\n\n- 许可证：[Apache License 2.0](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fblob\u002Fmain\u002FLICENSE)\n- 安全政策：[安全政策](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fblob\u002Fmain\u002FSECURITY.md)\n\n## 星标历史\n\n[![星标历史图表](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002Fgemini-cli-extensions_security_readme_e9ec52665cf1.png)](https:\u002F\u002Fwww.star-history.com\u002F#gemini-cli-extensions\u002Fsecurity&Date)","# Gemini CLI 安全扩展快速上手指南\n\n本指南帮助中国开发者快速安装并使用 Gemini CLI 的安全扩展，通过 AI 驱动的分析识别代码漏洞和依赖风险。\n\n## 环境准备\n\n在开始之前，请确保满足以下系统要求：\n\n*   **操作系统**：支持 Linux、macOS 或 Windows。\n*   **前置依赖**：必须已安装 **Gemini CLI**，且版本需为 **v0.4.0** 或更高。\n    *   若未安装或版本过低，请先升级 Gemini CLI。\n*   **网络环境**：需要能够访问 GitHub 以下载扩展插件。\n\n## 安装步骤\n\n打开终端（Terminal），运行以下命令即可安装安全扩展：\n\n```bash\ngemini extensions install https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\n```\n\n安装完成后，扩展将自动集成到 Gemini CLI 环境中。\n\n## 基本使用\n\n安装成功后，您可以使用以下两个核心命令进行安全分析。\n\n### 1. 代码变更安全分析 (`\u002Fsecurity:analyze`)\n\n该命令会分析当前分支的代码变更（默认基于 `git diff --merge-base origin\u002FHEAD`），识别潜在的安全漏洞并生成智能报告。\n\n**最简单用法：**\n在 Gemini CLI 交互界面中输入：\n\n```bash\n\u002Fsecurity:analyze\n```\n\n**自定义分析范围：**\n您可以通过自然语言指定分析特定文件夹或排除某些文件：\n\n```bash\n\u002Fsecurity:analyze Analyze all the source code under the script folder. Skip the docs, config files and package files.\n```\n\n**输出 JSON 格式报告：**\n\n```bash\n\u002Fsecurity:analyze --json\n```\n\n> **注意**：此报告为初步分析，建议结合其他安全工具和人工审查共同使用。目前该命令主要设计用于交互式会话。\n\n### 2. 依赖项漏洞扫描 (`\u002Fsecurity:scan-deps`)\n\n该命令集成 [OSV-Scanner](https:\u002F\u002Fgithub.com\u002Fgoogle\u002Fosv-scanner)，自动扫描项目依赖库中已知的安全漏洞。\n\n**执行扫描：**\n在 Gemini CLI 交互界面中输入：\n\n```bash\n\u002Fsecurity:scan-deps\n```\n\n执行后，系统将列出存在漏洞的依赖项、漏洞严重程度标识符以及修复建议（如升级到的目标版本）。\n\n---\n*提示：您也可以将此扩展集成到 GitHub Actions 工作流中，实现 Pull Request 的自动化安全审查。*","某电商平台的后端团队正在紧急开发一个新的支付网关功能，开发人员需要在合并代码前快速排查潜在的安全隐患。\n\n### 没有 security 时\n- 开发者只能依赖人工肉眼审查代码，极易忽略复杂的逻辑漏洞（如竞态条件或不安全的反序列化）。\n- 第三方依赖库的已知漏洞往往要等到定期审计或发生安全事故时才被发现，修复成本极高。\n- 安全审查通常滞后于开发流程，导致在 PR 合并阶段才发现重大问题，严重拖慢上线进度。\n- 缺乏上下文感知的分析工具，难以区分误报和真实风险，浪费大量时间进行无效排查。\n\n### 使用 security 后\n- security 利用 AI 能力自动分析当前分支的代码变更，精准识别出支付逻辑中的注入风险和权限校验缺失。\n- 通过集成的 OSV-Scanner，security 即时扫描并报告项目中引用的加密库存在已知高危漏洞，建议升级版本。\n- 开发者在提交 PR 前即可运行 `\u002Fsecurity:analyze` 获得智能报告，将安全问题拦截在开发早期，避免返工。\n- 支持自然语言定制分析范围（如“只检查支付模块”），security 能聚焦核心业务代码，提供高置信度的修复建议。\n\nsecurity 将被动的事后审计转变为主动的实时防御，让安全成为开发工作流中不可或缺的自然环节。","https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002Fgemini-cli-extensions_security_091308c3.gif","gemini-cli-extensions","Gemini CLI Extensions","https:\u002F\u002Foss.gittoolsai.com\u002Favatars\u002Fgemini-cli-extensions_2953caa3.png","Google Extensions for Gemini CLI",null,"https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions",[21,25],{"name":22,"color":23,"percentage":24},"TypeScript","#3178c6",84,{"name":26,"color":27,"percentage":28},"JavaScript","#f1e05a",16,715,49,"2026-04-14T18:30:31","Apache-2.0",2,"未说明",{"notes":36,"python":34,"dependencies":37},"该工具是 Gemini CLI 的扩展插件，而非独立的 AI 模型，因此无需本地 GPU 或特定显存。核心依赖是已安装的 Gemini CLI (v0.4.0 或更高版本)。它通过调用云端 Gemini API 进行安全分析，并使用 OSV-Scanner 扫描本地依赖漏洞。目前 `\u002Fsecurity:analyze` 命令仅支持交互式会话，非交互式支持将在未来版本提供。",[38,39],"Gemini CLI v0.4.0+","OSV-Scanner",[41],"插件",[43,44,6,14,45],"gemini","gemini-cli","google","ready","2026-03-27T02:49:30.150509","2026-04-16T01:43:25.440052",[50,55,60,65,70,75],{"id":51,"question_zh":52,"answer_zh":53,"source_url":54},34667,"为什么在非交互模式下运行 `\u002Fsecurity:analyze` 命令会报错找不到 `write_file` 工具？","这是一个已知的兼容性问题，已在 `google-gemini\u002Fgemini-cli#8305` 中修复。请确保您已将 Gemini CLI 更新到包含该修复的最新版本。","https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues\u002F20",{"id":56,"question_zh":57,"answer_zh":58,"source_url":59},34668,"在 Windows 上运行安全分析时遇到 'Cannot resize a pty that has already exited' 错误导致崩溃怎么办？","这很可能是 Gemini CLI 核心组件在 Windows 上的已知问题（参考 issue #10258），而非本扩展独有的错误。建议关注上游 Gemini CLI 仓库的修复进度，通常等待官方发布新版本即可解决。","https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues\u002F123",{"id":61,"question_zh":62,"answer_zh":63,"source_url":64},34669,"为什么添加 '@gemini-cli \u002Freview' 评论后会触发两个重复的审查任务？","这通常是因为未启用 Jules Bot 的“反应模式”（Reactive Mode）。请在 Jules Google 设置中勾选“仅响应提及 @jules 的评论”（Only respond to comments that mention @jules）。如果不启用此模式，当安全扩展启动任务时，Jules Bot 也会因监听到评论而尝试启动另一个任务，导致冲突和重复执行。","https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues\u002F99",{"id":66,"question_zh":67,"answer_zh":68,"source_url":69},34670,"安全扩展无法检测到 Git 暂存区的更改，报错 'unknown option `merge-base'` 是怎么回事？","这是因为当前环境中的 Git 版本不支持 `--merge-base` 参数。作为替代方案，可以使用等效命令组合：`git diff $(git merge-base HEAD origin\u002FHEAD)` 来获取相同的差异对比结果。","https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues\u002F87",{"id":71,"question_zh":72,"answer_zh":73,"source_url":74},34671,"收到 Allstar 发出的 'Outside Collaborators' 安全策略违规警告该如何处理？","该警告表示有外部协作者拥有管理员权限。解决方法有三种：1. 移除该用户的仓库访问权限（设置 -> Manage Access）；2. 邀请该用户加入组织成为正式成员；3. 如果确需保留权限，可在组织级的配置文件中将该用户添加到豁免名单中。","https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues\u002F2",{"id":76,"question_zh":77,"answer_zh":78,"source_url":79},34672,"营销网站上出现了重复的 `gemini-cli-security` 扩展条目怎么办？","重复条目通常是由于存在一个旧的分支或 Fork（如 v0.1.0 版本）被同时收录所致。目前主仓库已更新至 v0.2.0。建议用户直接使用主仓库地址（gemini-cli-extensions\u002Fsecurity），并忽略旧的 Fork 条目，或者联系网站维护者移除过时的收录项。","https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues\u002F81",[81,86,91,96],{"id":82,"version":83,"summary_zh":84,"released_at":85},271997,"v0.5.0","## [0.5.0](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcompare\u002Fv0.4.0...v0.5.0) (2026-04-01)\n\n\n### 功能特性\n\n* 添加 POC 技能 ([461a9c0](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F461a9c0370cf2aa224f246ac88cfe8bc1566ec18))\n* 将安全补丁修复实现为 Gemini CLI 的技能与工具组合 ([985037a](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F985037a4d1024712ce05f424f3061b5378a7ad5f))\n* 在请求时以 JSON 格式输出安全报告 ([#138](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues\u002F138)) ([83406c2](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F83406c2299eb71272e9e54505639938342298c07))\n* 支持通过 PoC 命令生成基础的 Python 和 Go POC 示例 ([ce973f0](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002Fce973f01194feaa93ec89f2c0bf024bee85ff45f))","2026-04-01T16:35:10",{"id":87,"version":88,"summary_zh":89,"released_at":90},271998,"v0.4.0","## [0.4.0](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcompare\u002Fv0.3.0...v0.4.0) (2025-12-17)\r\n\r\n\r\n### 功能特性\r\n\r\n* 添加依赖项扫描的自定义提示 ([e834869](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002Fe834869a77b684593fcefc432d2647fede32e38b))\r\n* 在 MCP 服务器中添加基本的 PoC 命令功能 ([2f533fd](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F2f533fdb65368aa64219bd772d0228f73b544c36))\r\n* 添加隐私相关的分类体系 ([#84](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues\u002F84)) ([46b3eb0](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F46b3eb037d7e9f7c2f8f56c68ba91520c0207719))\r\n* 增加用于定义审计范围的工具链 ([1730bbb](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F1730bbb9c2437921198e495a31d9703fbfb07244))\r\n* 在 PoC 功能中使用问题描述，以实现更灵活的使用方式 ([a0449d3](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002Fa0449d3baddc9833bdca68af91eca27446c83c2c))\r\n* 下载\u002F打包 OSV 扫描器，并将其注册为 MCP 服务器 ([eccf9eb](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fpull\u002F105\u002Fcommits\u002Feccf9eb885294235a84eef9968a0ceb5c14ff512))","2025-12-17T22:05:33",{"id":92,"version":93,"summary_zh":94,"released_at":95},271999,"v0.3.0","## [0.3.0](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcompare\u002Fv0.2.0...v0.3.0) (2025-10-20)\n\n\n### 功能特性\n\n* 添加用于存放安全相关文件的文件夹 ([2fe3588](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F2fe35888d5cff981c88ef31fae3daf39c6a695ef))\n* 在安全扫描中添加前言，以确认用户是否决定使用该命令或进行手动安全审计 ([67658d5](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F67658d587472be8283bc5aa00864429786bd1500))\n* **GHA 工作流:** 向仓库的 PR 中添加 run-gemini-cli GHA 工作流 ([facc88b](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002Ffacc88be48db43b3b8482ff6a6d19d34fd0513e1))\n* **GitHub Action:** 添加 \u002Fsecurity:github-pr 命令，用于与 run-gemini-cli GitHub Action 配合使用 ([59db0ad](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F59db0add3f6aee54821570725f1c33859c24bc4d))\n\n\n### Bug 修复\n\n* 差异问题是由非远程仓库引起的，现支持本地更改，默认启用 ([53a52c6](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F53a52c650c07575a18840b5b357eb80d8941c304))\n* **GHA:** Gemini-review 的 MCP 调用及提示信息变更 ([6d2d20f](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F6d2d20f070e034a90fdb7b6369b600f71d539430))\n* **GHA:** 更新 github-mcp-server 的调用 ([2c1e176](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F2c1e176bebee987e6beba630b7d1409a14f4f76f))\n* 修正空格问题，并将删除提示仅应用于临时文件 ([9d64b30](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F9d64b307eec2946b2f155a062febefae1c7f03bb))\n* 优化措辞和空格 ([4fb13d6](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F4fb13d651822619d1f442bdd4226d81ec9ec4bac))\n* 移除导致 gemini cli 尝试运行命令的额外测试 ([2caa615](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F2caa615f2f4563034ecc92842fec7583dbd102d1))\n* 建议用户自行运行命令，因为 gemini cli 无法… ([96f84f9](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F96f84f95d327482f4c5d8ddc267ea3f271aebcdb))\n* 使用  在 MCP 服务器中存储行号映射 ([#91](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fissues\u002F91)) ([909c901](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F909c901fd0a9b181b13a6462d50de7ca5acf4a5e))\n* 使用所有平台上都可用的命令来生成文件差异 ([21fc350](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F21fc35037b22b7acf51e7c78a5eb233d2f02cff3))\n* 文件末尾的多余空格 ([4257532](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcommit\u002F4257532aaa734171bfcf083deba8472c6e8453a7))","2025-10-20T19:02:05",{"id":97,"version":98,"summary_zh":99,"released_at":100},272000,"v0.2.0","## [0.2.0](https:\u002F\u002Fgithub.com\u002Fgemini-cli-extensions\u002Fsecurity\u002Fcompare\u002Fv0.1.0...v0.2.0) (2025-10-07)\n\n\n### 功能\n\n初始版本","2025-10-07T21:39:30",[102,112,120,133,142,150],{"id":103,"name":44,"github_repo":104,"description_zh":105,"stars":106,"difficulty_score":33,"last_commit_at":107,"category_tags":108,"status":46},6121,"google-gemini\u002Fgemini-cli","gemini-cli 是一款由谷歌推出的开源 AI 命令行工具，它将强大的 Gemini 大模型能力直接集成到用户的终端环境中。对于习惯在命令行工作的开发者而言，它提供了一条从输入提示词到获取模型响应的最短路径，无需切换窗口即可享受智能辅助。\n\n这款工具主要解决了开发过程中频繁上下文切换的痛点，让用户能在熟悉的终端界面内直接完成代码理解、生成、调试以及自动化运维任务。无论是查询大型代码库、根据草图生成应用，还是执行复杂的 Git 操作，gemini-cli 都能通过自然语言指令高效处理。\n\n它特别适合广大软件工程师、DevOps 人员及技术研究人员使用。其核心亮点包括支持高达 100 万 token 的超长上下文窗口，具备出色的逻辑推理能力；内置 Google 搜索、文件操作及 Shell 命令执行等实用工具；更独特的是，它支持 MCP（模型上下文协议），允许用户灵活扩展自定义集成，连接如图像生成等外部能力。此外，个人谷歌账号即可享受免费的额度支持，且项目基于 Apache 2.0 协议完全开源，是提升终端工作效率的理想助手。",100752,"2026-04-10T01:20:03",[41,109,110,111],"Agent","图像","开发框架",{"id":113,"name":114,"github_repo":115,"description_zh":116,"stars":117,"difficulty_score":33,"last_commit_at":118,"category_tags":119,"status":46},4721,"markitdown","microsoft\u002Fmarkitdown","MarkItDown 是一款由微软 AutoGen 团队打造的轻量级 Python 工具，专为将各类文件高效转换为 Markdown 格式而设计。它支持 PDF、Word、Excel、PPT、图片（含 OCR）、音频（含语音转录）、HTML 乃至 YouTube 链接等多种格式的解析，能够精准提取文档中的标题、列表、表格和链接等关键结构信息。\n\n在人工智能应用日益普及的今天，大语言模型（LLM）虽擅长处理文本，却难以直接读取复杂的二进制办公文档。MarkItDown 恰好解决了这一痛点，它将非结构化或半结构化的文件转化为模型“原生理解”且 Token 效率极高的 Markdown 格式，成为连接本地文件与 AI 分析 pipeline 的理想桥梁。此外，它还提供了 MCP（模型上下文协议）服务器，可无缝集成到 Claude Desktop 等 LLM 应用中。\n\n这款工具特别适合开发者、数据科学家及 AI 研究人员使用，尤其是那些需要构建文档检索增强生成（RAG）系统、进行批量文本分析或希望让 AI 助手直接“阅读”本地文件的用户。虽然生成的内容也具备一定可读性，但其核心优势在于为机器",93400,"2026-04-06T19:52:38",[41,111],{"id":121,"name":122,"github_repo":123,"description_zh":124,"stars":125,"difficulty_score":33,"last_commit_at":126,"category_tags":127,"status":46},2268,"ML-For-Beginners","microsoft\u002FML-For-Beginners","ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程，旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周，包含 26 节精炼课程和 52 道配套测验，内容涵盖从基础概念到实际应用的完整流程，有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。\n\n无论是希望转型的开发者、需要补充算法背景的研究人员，还是对人工智能充满好奇的普通爱好者，都能从中受益。课程不仅提供了清晰的理论讲解，还强调动手实践，让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持，通过自动化机制提供了包括简体中文在内的 50 多种语言版本，极大地降低了全球不同背景用户的学习门槛。此外，项目采用开源协作模式，社区活跃且内容持续更新，确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路，ML-For-Beginners 将是理想的起点。",85092,"2026-04-10T11:13:16",[110,128,129,41,109,130,131,111,132],"数据工具","视频","其他","语言模型","音频",{"id":134,"name":135,"github_repo":136,"description_zh":137,"stars":138,"difficulty_score":139,"last_commit_at":140,"category_tags":141,"status":46},7525,"codex","openai\u002Fcodex","Codex 是 OpenAI 推出的一款轻量级编程智能体，专为在终端环境中高效运行而设计。它允许开发者直接在命令行界面与 AI 交互，完成代码生成、调试、重构及项目维护等任务，无需频繁切换至浏览器或集成开发环境，从而显著提升了编码流程的连贯性与专注度。\n\n这款工具主要解决了传统 AI 辅助编程中上下文割裂的问题。通过将智能体本地化运行，Codex 能够更紧密地结合当前工作目录的文件结构，提供更具针对性的代码建议，同时支持以自然语言指令驱动复杂的开发操作，让“对话即编码”成为现实。\n\nCodex 非常适合习惯使用命令行的软件工程师、全栈开发者以及技术研究人员。对于追求极致效率、偏好键盘操作胜过图形界面的极客用户而言，它更是理想的结对编程伙伴。\n\n其独特亮点在于灵活的部署方式：既可作为全局命令行工具通过 npm 或 Homebrew 一键安装，也能无缝对接现有的 ChatGPT 订阅计划（如 Plus 或 Pro），直接复用账户权益。此外，它还提供了从纯文本终端到桌面应用的多形态体验，并支持基于 API 密钥的深度定制，充分满足不同场景下的开发需求。",75220,1,"2026-04-14T14:40:34",[131,109,41],{"id":143,"name":144,"github_repo":145,"description_zh":146,"stars":147,"difficulty_score":33,"last_commit_at":148,"category_tags":149,"status":46},51,"gstack","garrytan\u002Fgstack","gstack 是 Y Combinator CEO Garry Tan 亲自开源的一套 AI 工程化配置，旨在将 Claude Code 升级为你的虚拟工程团队。面对单人开发难以兼顾产品战略、架构设计、代码审查及质量测试的挑战，gstack 提供了一套标准化解决方案，帮助开发者实现堪比二十人团队的高效产出。\n\n这套配置特别适合希望提升交付效率的创始人、技术负责人，以及初次尝试 Claude Code 的开发者。gstack 的核心亮点在于内置了 15 个具有明确职责的 AI 角色工具，涵盖 CEO、设计师、工程经理、QA 等职能。用户只需通过简单的斜杠命令（如 `\u002Freview` 进行代码审查、`\u002Fqa` 执行测试、`\u002Fplan-ceo-review` 规划功能），即可自动化处理从需求分析到部署上线的全链路任务。\n\n所有操作基于 Markdown 和斜杠命令，无需复杂配置，完全免费且遵循 MIT 协议。gstack 不仅是一套工具集，更是一种现代化的软件工厂实践，让单人开发者也能拥有严谨的工程流程。",72893,"2026-04-15T11:03:39",[109,41],{"id":151,"name":152,"github_repo":153,"description_zh":154,"stars":155,"difficulty_score":33,"last_commit_at":156,"category_tags":157,"status":46},6520,"openai-cookbook","openai\u002Fopenai-cookbook","openai-cookbook 是 OpenAI 官方提供的一套实用代码示例与指南合集，旨在帮助开发者快速上手并掌握 OpenAI API 的核心用法。面对大模型应用中常见的提示词工程、函数调用、数据嵌入及复杂任务编排等挑战，新手往往难以找到标准化的实现路径。openai-cookbook 通过提供经过验证的代码片段和详细教程，有效解决了“如何从零开始构建应用”以及“如何最佳实践特定功能”的痛点。\n\n这套资源主要面向软件开发者和 AI 技术研究人员，同时也适合希望深入理解大模型能力的技术爱好者。虽然示例代码主要以 Python 编写，但其背后的设计思路和技术逻辑具有通用性，可轻松迁移至其他编程语言。其独特亮点在于内容紧跟官方最新特性更新，覆盖了从基础文本生成到高级代理（Agent）构建的全场景需求，且所有示例均支持在本地环境直接运行调试。作为开源项目，它采用宽松的 MIT 许可证，鼓励社区贡献与二次开发，是学习大模型应用开发不可或缺的实战手册。",72659,"2026-04-10T21:55:21",[131,41]]