import-dependabotlisted

# 导入 Dependabot 安全告警 导入指定的 Dependabot 安全告警并创建修复任务。 ## 行为边界 / 关键规则 - 本技能仅负责导入告警并创建任务骨架 —— 不直接修改业务代码或关闭告警 - 不要自动提交。绝不自动执行 `git commit` 或 `git add` - 执行本技能后，你**必须**立即更新 task.md 中的任务状态 ## 执行流程 ### 1. 获取告警信息 执行前先读取 `.agents/rules/security-alerts.md`，并按其中的 Dependabot 告警读取命令获取告警详情。 提取关键信息： - `number`：告警编号 - `state`：状态（open/dismissed/fixed） - `security_advisory`：安全公告详情（ghsa_id、cve_id、severity、summary、description） - `dependency`：受影响的依赖（包名、生态系统、清单路径） - `security_vulnerability`：受影响版本范围、首个修复版本 ### 2. 创建任务目录和文件 检查 `.agents/workspace/active/` 中是否已存在该告警的任务。 - 如果找到，**默认复用现有任务**，不询问用户；在最终告知中明确「已复用现有任务 `{task-id}`，未重新导入」。如需重新导入，需先归档/删除已有任务 - 如果未找到，创建新任务 创建目录：`.agents/workspace/active/TASK-{yyyyMMdd-HHmmss}/` 任务元数据需包含： ```yaml id: TASK-{yyyyMMdd-HHmmss} security_alert_number: <alert-number> severity: <critical/high/medium/low> cve_id: <CVE-ID> ghsa_id: <GHSA-ID> ``` ### 3. 更新任务状态 获取当前时间： ```bash date "+%Y-%m-%d %H:%M:%S%:z" ``` 更新 task.md：`current_step` -> `requirement-analysis`。 - **追加**到 `## Activity Log`（不要覆盖之前的记录）： ``` - {YYYY-MM-DD HH:mm:ss±HH:MM} — **Import Dependabot Alert** by {agent} — Dependabot alert #{alert-number} imported ``` ### 4. 完成校验 运行完成校验，确认任务产物和同步状态符合规范： ```bash node .agents/scripts/validate-artifact.js gate import-dependabot .agents/workspace/active/{task-id} --format text ``` 处理结果： - 退出码 0（全部通过）-> 继续到「告知用户」步骤 - 退出码 1（校验失败）-> 根据输出修复问题后重新运行校验 - 退出码 2（网络中断）-> 停止执行并告知用户需要人工介入 将校验输出保留在回复中作为当次验证输出。没有当次校验输出，不得声明完成。 ### 5. 告知用户 > 仅在校验通过后执行本步骤。 > **重要*