hellowind777/~verify
skills/commands/verify/SKILL.md
验证总入口 — 审查、lint、typecheck、test、build 与修复循环(~verify 命令)
$ install --global
skillsauthnpx skillsauth add hellowind777/helloagents ~verifyInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: May 17, 2026, 2:46 AM162.2s1 file scanned
SKILL.md
- name:
- ~verify
- description:
- 验证总入口 — 审查、lint、typecheck、test、build 与修复循环(~verify 命令)
- allow_implicit_invocation:
- false
Trigger: ~verify [scope]
流程
- 先对齐当前工作流状态:
- 若当前上下文中已注入“当前工作流约束”或“当前推荐下一命令”,先服从它
- 即使命令通过,也不能越过当前方案包边界:不完整方案包不能视为可信交付记录,未闭合方案包不能被整体报告为已完成
- 当推荐路径已进入
~verify/ 收尾时,优先把本命令用于审查、验真和交付收尾 - 若当前存在活跃方案包,先读取
requirements.md、plan.md、tasks.md、contract.json,把它们当作当前验证契约;不要只看命令结果 - 若当前运行在 Codex active goal 下,按 active goal 关联方案包和
state_path复核范围;/goal只负责续跑,不改变验证契约 - 若
contract.json声明advisor.required=true或ui.styleAdvisor.required=true,则本次验证还必须补齐当前会话artifacts/advisor.json;advisor / style advisor 都是可选能力,不是默认常驻步骤 - 若
contract.json声明ui.visualValidation.required=true,则本次验证还必须补齐当前会话artifacts/visual.json;视觉验收优先用截图/浏览器工具,没有工具时才降级为结构化代码级自检
- 先决定验证分流:
- 若当前上下文中已注入“验证分流”,先按该分流执行
- 用户显式使用
~review时,即使当前没有注入分流,也按审查优先起步 - 若没有注入分流、也不是
~review,默认先做全量验证;执行中一旦发现高风险流程、关键权限/配置/迁移/发布边界或明显未覆盖的风险点,立即补做hello-review
- 审查优先模式:
- 获取变更范围:无参数默认未提交变更;
staged代表暂存区;指定文件/目录则只审查对应范围 - 按 hello-* 技能查找路径读取
hello-reviewSKILL.md,执行逐文件审查 - 高风险流程除显式范围外,还要主动补查相关配置、迁移、权限、部署或安全边界文件,不能只盯住单个功能文件
- 审查结论确定后,立即调用
scripts/review-state.mjs write写当前会话artifacts/review.json;用结构化字段记录outcome、conclusion、findings、fileReferences,不要让后续检查脚本再从自然语言消息里猜结论
- 获取变更范围:无参数默认未提交变更;
- 全量验证模式或审查后继续验证:
- 读取
hello-verifySKILL.md - 按其“验证命令来源”优先级检测命令
- 逐个运行所有检测到的命令
- 收集每个命令的输出和退出码
- 对照当前契约逐项核对:requirements 是否覆盖、tasks 中每项“完成标准”是否满足、
plan.md中风险与设计约束是否被验证、contract.json中声明的verifyMode/ reviewer / tester 关注边界是否已被覆盖 - 若 Codex active goal 存在,还要确认
tasks.md的 AFK/HITL 边界:仍有可执行 AFK 项时,不进入 complete;只在目标、任务、验证和收尾都闭合后标记 goal complete - 若
advisor.required=true或ui.styleAdvisor.required=true,在进入收尾前调用scripts/advisor-state.mjs write写当前会话artifacts/advisor.json;记录触发原因、focus、consultedSources、结论与建议,禁止只在自然语言里留一段 advisor 意见 - 若
ui.visualValidation.required=true,在进入收尾前调用scripts/visual-state.mjs write写当前会话artifacts/visual.json;记录reason、tooling、screensChecked、statesChecked、status、summary、findings与recommendations
- 读取
- 汇总报告:
- ✅ 通过的审查项 / 命令
- ❌ 失败的审查项 / 命令 + 错误详情
- 合同核对结论:哪些需求 / 任务完成标准已满足,哪些仍未满足
- 修复建议
- 高风险流程额外说明:不能把“命令通过”直接等同于“风险已解除”;若仍存在未验证的风险边界、待授权操作或不可逆步骤,必须明确列出并停下
失败处理
- 有失败 → 逐个修复,修复后重新运行对应审查或验证
- 全部通过 → 按当前已加载的 HelloAGENTS 规则进入 CONSOLIDATE 收尾;若 Codex active goal 的目标也已满足,再标记 goal complete,并按交付边界报告完成
Related Skills
hellowind777/hello-subagent
data-ai
VerifiedTrustedCommunity
使用子代理执行任务、并行开发、分派工作时使用。确保子代理有清晰的上下文和验证标准。
600SKILL.mdUpdated May 3, 2026
hellowind777/qa-review
testing
VerifiedTrustedCommunity
统一质量审查、命令验证、阻断修复与交付前质量闭环。
599SKILL.mdUpdated May 22, 2026
hellowind777/~qa
testing
VerifiedTrustedCommunity
统一质量命令 — 审查、命令验证、阻断修复、回归验证与收尾前质量闭环(~qa 命令)
599SKILL.mdUpdated May 22, 2026
hellowind777/helloagents
data-ai
VerifiedTrustedCommunity
按任务类型适用 — 建立质量驱动工作流,通过技能标准、流程纪律和检查清单保障交付质量
599SKILL.mdUpdated May 3, 2026