执行腾讯云代码分析(TCA)安全扫描(代码质量/安全漏洞/敏感信息/依赖风险),并生成 HTML/JSON 报告。
SKILL.md:Skill 定义(YAML frontmatter + 指令)plugin.json:可选的元信息清单(便于分发/管理)scripts/tca_scan.py:Python 跨平台扫描脚本(核心实现)
- Python:3.6 或更高版本
- Docker:推荐安装Docker环境,会优先用Docker模式执行;如果没有Docker环境,会自动切换为二进制模式。
- Git: 二进制模式下,需要安装 git 和 git lfs。
在Agent对话框中输入:
帮我安装这个skill:https://cnb.cool/tencent/cloud/tca/plugins/tca-skill.git
执行以下命令,或将此安装命令发送给你的Agent:
npx --yes skills add https://cnb.cool/tencent/cloud/tca/plugins/tca-skill.git --skill tca-skill -y
直接在对话中说类似下面的话即可:
- "执行代码分析"
- "执行 TCA 代码分析"
- "扫描代码漏洞"
可以指定扫描某个目录/文件,或不扫描某个目录/文件:
- "只扫描 testcase 目录"
- "只扫描 testcase/test.py"
- "不要扫描 lib 和 bin 目录"
- "不要扫描 lib/test.py"
默认在 ./tca_report/ 下生成:
- HTML 报告:
index.html - JSON 报告:
tca_report.json - 扫描状态文件:
scan_status.json
先启动 Docker Desktop / colima,再执行:docker info
确保安装了 Python 3.6 或更高版本:python3 --version
- 推荐使用 Docker 模式:可避免二进制兼容性问题
- Apple Silicon (ARM64) 芯片:
- 问题现象:二进制模式执行时可能遇到 "bad cpu type"、"exec format error" 等错误
- 原因:TCA 二进制工具为 x86_64 架构编译,在 Apple Silicon 上需要 Rosetta 转译
- 解决方案:
- 安装 Rosetta:
softwareupdate --install-rosetta - 或使用:
/usr/sbin/softwareupdate --install-rosetta --agree-to-license - 安装后重新运行扫描
- 安装 Rosetta:
TCA 官网:https://tca.tencent.com
About
35/F,Tencent Building,Kejizhongyi Avenue,Nanshan District,Shenzhen
