Skip to content

建议: 在 package.json 里补 repository / homepage 字段,改善供应链可见性 #190

Description

@JuShenLisa

建议: 在 package.json 里补 repository / homepage 字段,改善供应链可见性

问题描述

刚刚通过 npx skills add MiniMax-AI/cli -y -g 安装官方 skill 时,安全扫描给出:

Security Risk Assessments
           Gen     Socket    Snyk
  mmx-cli  Safe    0 alerts  High Risk

但交叉验证后,未发现真实漏洞:

  • Socket: 0 alerts
  • 本地 npm audit: {'low': 0, 'moderate': 0, 'high': 0, 'critical': 0, 'total': 0}
  • GitHub Advisory Database: 干净

进一步调查发现,npm view mmx-cli 返回的 metadata 里 repositoryhomepage 字段都是空:

repository: None
homepage:   None

这是 Snyk 给 "High Risk" 评分的最大嫌疑因子—— npm 包评分里,缺少仓库链接会被计为供应链透明度扣分项,直接拉到 High 档。这不是漏洞,但会误导所有通过 skills.sh 这类聚合站选型的人。

建议修改

package.json 里加几行:

{
  "repository": {
    "type": "git",
    "url": "git+https://github.com/MiniMax-AI/cli.git"
  },
  "homepage": "https://github.com/MiniMax-AI/cli#readme",
  "bugs": {
    "url": "https://github.com/MiniMax-AI/cli/issues"
  }
}

补充后重新 npm publish,聚合站的 Snyk 评分大概率会从 High 降到 Low / Medium,不影响功能。

影响

  • ✅ 用户侧零影响(纯 metadata,运行时不变)
  • ✅ 让依赖该包的工具(包括 npx skills、IDE 集成、企业 SBoM 扫描)能正确关联 GitHub source
  • ✅ 提升 npm view mmx-cli 输出质量(开发者更容易找到源码)
  • ⚠️ 发布前需要确认 yuanhe@minimaxi.com 这个 maintainer 邮箱仍有效,publish 时会用于验证

复现路径

npm view mmx-cli repository
# 输出: None  ← 应该输出 git URL

npm view mmx-cli homepage
# 输出: None  ← 应该输出 GitHub README URL

发现该问题时的环境: mmx-cli@1.0.16, npm 11.x, macOS 26.5.2

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Type

    No type

    Fields

    No fields configured for issues without a type.

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions