TCA Skill

执行腾讯云代码分析（TCA）安全扫描（代码质量/安全漏洞/敏感信息/依赖风险），并生成 HTML/JSON 报告。

• SKILL.md：Skill 定义（YAML frontmatter + 指令）
• plugin.json：可选的元信息清单（便于分发/管理）
• scripts/tca_scan.py：Python 跨平台扫描脚本（核心实现）

• Python：3.6 或更高版本
• Docker：推荐安装Docker环境，会优先用Docker模式执行；如果没有Docker环境，会自动切换为二进制模式。
• Git: 二进制模式下，需要安装 git 和 git lfs。

在Agent对话框中输入：

帮我安装这个skill：https://cnb.cool/tencent/cloud/tca/plugins/tca-skill.git

执行以下命令，或将此安装命令发送给你的Agent：

npx --yes skills add https://cnb.cool/tencent/cloud/tca/plugins/tca-skill.git --skill tca-skill -y

直接在对话中说类似下面的话即可：

• "执行代码分析"
• "执行 TCA 代码分析"
• "扫描代码漏洞"
• "扫描并修复 / 扫描后自动修复 / fix issues"

可以指定扫描某个目录/文件，或不扫描某个目录/文件：

• "只扫描 testcase 目录"
• "只扫描 testcase/test.py"
• "不要扫描 lib 和 bin 目录"
• "不要扫描 lib/test.py"

当在对话中说“扫描并修复 / 扫描后自动修复 / fix issues”等类似语句时，Agent 会在扫描完成后，自动读取 tca_report.json 并尝试修复问题。修复策略分为三类：

• ✅ 自动修复：硬编码密码/密钥/Token、未使用变量、简单代码规范等 → AI 直接修复，并展示 diff
• ⚠️ 确认修复：SQL 注入、XSS、命令注入、路径遍历、反序列化等安全漏洞 → 展示修复方案，等待用户确认后再写入
• ❌ 仅报告：依赖 CVE 漏洞、复杂逻辑缺陷、架构级问题 → 仅输出问题描述和修复建议，不自动修改代码

修复完成后会输出修复摘要（已自动修复 / 待确认修复 / 需人工处理），便于复查。修复前不会备份文件，请通过 Git 进行版本控制；详细规则见 SKILL.md 「扫描后自动修复」章节。

默认在 ./tca_report/ 下生成：

• HTML 报告：index.html
• JSON 报告：tca_report.json
• 扫描状态文件：scan_status.json

先启动 Docker Desktop / colima，再执行：docker info

确保安装了 Python 3.6 或更高版本：python3 --version

• 推荐使用 Docker 模式：可避免二进制兼容性问题
• Apple Silicon (ARM64) 芯片：
  • 问题现象：二进制模式执行时可能遇到 "bad cpu type"、"exec format error" 等错误
  • 原因：TCA 二进制工具为 x86_64 架构编译，在 Apple Silicon 上需要 Rosetta 转译
  • 解决方案：
    • 安装 Rosetta：softwareupdate --install-rosetta
    • 或使用：/usr/sbin/softwareupdate --install-rosetta --agree-to-license
    • 安装后重新运行扫描

TCA 官网：https://tca.tencent.com