ワンクリックでManusで任意のスキルを実行

$pwd:

security-alert-remediator

Name: Security Alert Remediator
Author: CaoMeiYouRen

// 自动处理 GitHub security alerts 的依赖修复工作流。用户提到 auto fix security alerts、Dependabot alerts、code scanning、pnpm audit、frozen-lockfile、修复依赖漏洞、升级有安全告警的包、按 severity 过滤或优先处理 critical/high 告警时使用。支持从 GITHUB_TOKEN 读取 GitHub alerts，或在无 token 时回退到 pnpm audit；会先检查 Git 仓库是否干净、拉取远端更新、按严重级别和可修复性排序，再逐个依赖升级、修复 frozen-lockfile、执行 lint/test/build 并汇报未解决的 high+ 风险。用户显式要求时，也可启用更严格的过时 pnpm overrides 清理流程。

Manusで実行

$ git log --oneline --stat

stars:2

forks:1

updated:2026年5月25日 13:32

ファイルエクスプローラー

8 ファイル

SKILL.md

readonly

related-skills.json

同じリポジトリ

pnpm-major-migrator.md

from "CaoMeiYouRen/cmyr-skills-agents"

迁移 pnpm 大版本（major）及其项目配置时使用。适用于用户提到 upgrade pnpm major、pnpm v10 to v11、pnpm migration、迁移 pnpm 版本、lockfile 升级、pnpm-workspace.yaml 迁移、.npmrc 配置迁移、GitHub Actions pnpm 版本对齐。当前优先覆盖 v10 到 v11，并保留后续 v12+ 的可扩展流程。

2026-05-242

super-search.md

from "CaoMeiYouRen/cmyr-skills-agents"

通用网页搜索、爬取、交叉验证与研究报告生成。用户说 search、搜索、查一下、帮我搜、调研、collect information、find sources、verify facts、交叉比对、验证真实性、收集资料、整理信息、查证某个说法、看看网上怎么说、有没有证据支持、信息可信度如何时触发。自动搜索多源内容，抓取并缓存，分析内容质量（评分仅作参考，低质直接舍弃），交叉比对事实一致性，对高严谨度内容（医学、法律、金融等）自动触发对抗性审查。最终输出结构化研究报告到指定目录。≠ hv-analysis（那是深度产品/公司分析框架）。

2026-05-242

skill-creator.md

from "CaoMeiYouRen/cmyr-skills-agents"

创建、翻译、重构、评审、封装、评测和优化技能时使用。只要用户提到 create skill、build skill、new skill、write SKILL.md、improve skill、refactor skill、package skill、benchmark skill、trigger tuning、description optimization、run skill evals、skill workflow 或要把现有经验沉淀为技能，都应优先使用本技能。它同时负责技能设计流程、长文本拆分策略、评测工具链与触发优化。

2026-03-292

agent-creator.md

from "CaoMeiYouRen/cmyr-skills-agents"

创建、重构、审计和治理本项目自定义 agent 时使用。用户提到 create agent、new agent、build agent、write .agent.md、custom agent、agent mode、agent workflow、agent governance、判断应该做成 skill 还是 agent、审计 agent 安全与准入标准时都应触发。它负责先判断该需求应由 skill 还是 agent 承载，再在需要时创建或更新 agent，并审计重叠、规范与安全。

2026-03-192

backend-expert.md

from "CaoMeiYouRen/cmyr-skills-agents"

设计或实现后端 API、服务层、数据库读写、鉴权权限控制、输入校验、事务处理与错误处理时使用。用户提到 API、route、handler、server、auth、permission、drizzle、database、zod、Hono、Nuxt server routes、backend bug 修复时都应触发。

2026-03-192

code-reviewer.md

from "CaoMeiYouRen/cmyr-skills-agents"

审查当前 git 变更、PR、提交范围、技能定义文件、架构调整或安全敏感代码时使用。覆盖正确性、安全、架构、SOLID、可删除代码、性能、异常处理与测试风险；默认只输出 review，不直接修改代码。用户提到 review、code review、PR 审查、deep review、code review expert、senior review、security audit、merge ready、SOLID、架构审查时都应触发。

2026-03-192

package.json

"author": "CaoMeiYouRen"

"repository": "CaoMeiYouRen/cmyr-skills-agents"

GitHub リポジトリを開く Creator のリポジトリを見る

$ install --global

$ download --local

Manusで実行

$ useful --forSOC

情報セキュリティアナリストコンピュータ・数学職15-1212L4

name

security-alert-remediator

description

自动处理 GitHub security alerts 的依赖修复工作流。用户提到 auto fix security alerts、Dependabot alerts、code scanning、pnpm audit、frozen-lockfile、修复依赖漏洞、升级有安全告警的包、按 severity 过滤或优先处理 critical/high 告警时使用。支持从 GITHUB_TOKEN 读取 GitHub alerts，或在无 token 时回退到 pnpm audit；会先检查 Git 仓库是否干净、拉取远端更新、按严重级别和可修复性排序，再逐个依赖升级、修复 frozen-lockfile、执行 lint/test/build 并汇报未解决的 high+ 风险。用户显式要求时，也可启用更严格的过时 pnpm overrides 清理流程。

Security Alert Remediator

铁律：不要在脏工作区里批量升级依赖，也不要把多个无关安全升级塞进同一批修复并跳过验证。

路径解析约定

本技能中出现的 scripts/ 和 references/ 都是相对于当前技能目录的路径，不是相对于用户仓库根目录，也不是相对于执行命令时的当前工作目录。
如果技能是全局安装的，先定位当前 SKILL.md 所在目录，再从该目录解析 ./scripts/* 和 ./references/*。
下文命令示例里的表示当前技能目录；不要假设用户项目根目录下也存在同名脚本或参考文档。

工作流

Optional Override Cleanup

这个分支默认关闭，只有用户明确要求“评估或移除某个 pnpm override”时才启用。
override 清理不是常规提速动作，而是对临时缓解措施做回收；验证强度必须高于新增 override。
只有当相关直接依赖已经升级、或有充分理由怀疑某个 override 已经失效时，才评估移除。
默认一次只移除一个 override selector；只有多个 selector 明确指向同一目标包且用户同意时，才允许成组清理。
使用 /scripts/remove-pnpm-override.mjs 做机械化移除，并要求保留移除前后告警快照用于对比。
移除后必须执行完整质量门，不允许只凭 lockfile 变化就判定清理成功。

Step 1: 仓库预检

运行 /scripts/check-git-preflight.mjs。
如果脚本返回 dirty、diverged 或 pull-failed，直接停止，不要在当前工作区继续自动修复。
如果仓库不是 pnpm 项目，或缺少 package.json / pnpm-lock.yaml，需要先和用户确认是否仍按该技能继续。

Step 2: 告警采集

运行 /scripts/collect-security-alerts.mjs --output-json 。
读取输出中的 focusSeverity、packageCandidates、manualCodeScanning 和 unfixableHighDependencyAlerts。
只有在当前没有 high+ 告警时，才把 medium 告警纳入本轮修复范围。
Code Scanning 默认只做分类和定位；只有定位清晰、修改面很小且能快速验证时，才自动改代码。

Step 3: 批次规划

加载 /references/severity-policy.md，决定当前轮次应该聚焦的最低严重级别。
加载 /references/remediation-playbook.md，判断哪些包必须一起升级、哪些必须拆开。
同级别依赖不强制排序，但有关联的依赖必须放在同一决策里，按先后关系执行。

Step 4: 升级执行

版本范围策略：

安全升级默认使用 ^ 版本范围（如 ^3.2.1），既允许兼容小版本自动更新，又不引入破坏性变更
如果补丁建议的版本是精确版本号（如 3.2.1），使用 --save-exact flag 精确锁定
禁止使用 >=（如 >=3.0.0），这种范围会无上限地拉入未来的破坏性 major 版本，带来不可控风险
如果当前 package.json 中已存在 >= 范围，安全升级时须一并修正为 ^ 或精确版本
单包升级示例：node /scripts/update-pnpm-dependency.mjs lodash
指定版本示例：node /scripts/update-pnpm-dependency.mjs undici@7.16.0
精确版本示例：node /scripts/update-pnpm-dependency.mjs semver@7.7.1 --save-exact
关联包升级示例：node /scripts/update-pnpm-dependency.mjs react react-dom
如果只是 lockfile 与 package.json 脱节，先运行 node /scripts/repair-frozen-lockfile.mjs，再决定是否继续升级。

Optional Override Cleanup: 执行与放行

先加载 /references/remediation-playbook.md 中的 override 清理规则，再决定是否值得尝试移除。
精确移除单个 selector：node /scripts/remove-pnpm-override.mjs lodash
按包名移除同一叶子包的多个 selector：node /scripts/remove-pnpm-override.mjs picomatch --by-package true
默认会执行安装、frozen 校验和前后告警快照对比；只有用户明确要求人工接管时，才允许关闭其中任一项。
如果移除后重新引入目标包告警，或新增达到阈值的依赖告警，立即停止并回滚本次清理。
无论脚本是否通过，仍然需要补跑仓库真实存在的 lint/test/build/typecheck 质量门。

Step 5: 验证与放行

快速验证优先使用项目现有的 lint、test、build、typecheck 脚本，不要臆造命令。
单包升级默认跑最小充分检查；多包升级、major 升级或伴随代码修复时，升级为完整检查。
如果失败原因来自上游依赖缺陷、peer 约束或不可接受的 API 破坏，保留证据并停止该批次。

可用脚本

/scripts/check-git-preflight.mjs：检查 Git 工作区是否干净、是否落后远端，并尝试安全的 fast-forward 拉取。
/scripts/collect-security-alerts.mjs：聚合 Dependabot、Code Scanning 和 pnpm audit fallback，输出当前优先级和候选依赖。
/scripts/remove-pnpm-override.mjs：在显式启用时移除一个或一组 pnpm override，并用前后告警快照、防回归比较和 lockfile 校验保护这次清理。
/scripts/update-pnpm-dependency.mjs：执行 pnpm up，并在需要时补做非 frozen 安装与 frozen 校验。
/scripts/repair-frozen-lockfile.mjs：自动修复 pnpm install --frozen-lockfile 失败导致的锁文件不同步问题。

反模式

在存在用户未提交改动时直接开始升级依赖。
因为告警很多，就一次升级所有可疑依赖。
没有用户显式要求，就顺手批量移除 overrides。
在相关直接依赖尚未追上前，就把 override 当成“看起来没用了”而直接删掉。
把 Code Scanning 告警错误地当成依赖升级就能解决的问题。
明明没有补丁版本，仍然机械地反复执行升级命令。
升级后只看 lockfile 变化，不跑任何质量门。
为了消除告警而接受大范围破坏性重构，却不单独评估收益和风险。
使用 >= 版本范围导致未来可能自动拉入破坏性 major 版本。
提交临时安全告警快照文件（如 alerts-snapshot.json / alerts-snapshot.md）到 Git 仓库。

交付前检查

已确认工作区干净，且远端更新已同步或明确说明阻塞原因。
已按严重级别和可修复性排序，而不是平铺处理所有告警。
默认保持单依赖批次；多依赖批次已说明关联性和额外验证范围。
如启用 override 清理，已明确这是用户显式要求的可选分支，并保留了移除前后的告警对比结果。
每个已升级批次都执行了真实存在的质量门。
代码改动已做最小自查，未把破坏性大改混进安全升级里。
无法直接修复的 high+ 告警已单独列出并反馈给用户。
临时安全告警快照文件（--output-json / --output-markdown 产物）已删除，未提交到 Git。
升级后的版本范围使用 ^ 或精确版本号，不存在 >= 范围。

security-alert-remediator

このリポジトリの他の Skills

このリポジトリの他の Skills

Security Alert Remediator

路径解析约定

工作流

Optional Override Cleanup

Step 1: 仓库预检

Step 2: 告警采集

Step 3: 批次规划

Step 4: 升级执行

Optional Override Cleanup: 执行与放行

Step 5: 验证与放行

可用脚本

反模式

交付前检查

Security Alert Remediator

路径解析约定

工作流

Optional Override Cleanup

Step 1: 仓库预检

Step 2: 告警采集

Step 3: 批次规划

Step 4: 升级执行

Optional Override Cleanup: 执行与放行

Step 5: 验证与放行

可用脚本

反模式

交付前检查