ציון האמון - מה הוא אומר ואיך משפרים
מדריך מפורט למפתחי סקילס שרוצים להבין את ציון האמון שלהם, מה מוריד אותו ואיך אפשר להעלות אותו
ציון האמון - מה הוא אומר ואיך משפרים
מה זה ציון האמון?
כשמישהו מחפש סקיל ב-Skills IL, הוא רוצה לדעת שמה שהוא מתקין בטוח ואמין. ציון האמון (Trust Score) זה מספר בין 0 ל-100 שנותן תמונה מהירה על מצב הסקיל: כמה הוא מתוחזק, כמה הוא מאובטח, וכמה הוא מתועד.
הציון מחושב אוטומטית אצלנו במערכת. אי אפשר להריץ את הבדיקה בעצמכם. אחרי שאתם דוחפים שינויים לריפו, הציון מתעדכן בסנכרון הבא.
למה זה חשוב?
- משתמשים סומכים יותר על סקילס עם ציון גבוה ומתקינים אותם יותר
- סקילס עם ציון נמוך מקבלים פחות התקנות
- מתחת ל-50 מופיע תג "בבדיקה" שמרתיע משתמשים
דרגות האמון
יש ארבע דרגות:
| דרגה | טווח ציונים | מה זה אומר |
|---|---|---|
| מאומת (Verified) | 90-100 | עבר בדיקות מעמיקות, מתוחזק שוטף, ממפתח מוכר. רוב הסקילס לא מגיעים לפה |
| אמין (Trusted) | 70-89 | אמין, מתוחזק, מתועד. זו הדרגה שכדאי לכוון אליה |
| קהילתי (Community) | 50-69 | עובד, אבל יש מה לשפר באבטחה, תיעוד או תחזוקה |
| בבדיקה (Under Review) | 0-49 | ציון נמוך. שווה לקרוא את הפירוט למטה ולטפל |
שישה דברים שמשפיעים על הציון
הציון נבנה משישה מדדים, כל אחד עם משקל אחר:
1. איכות קוד (Code Quality) - 25%
המדד שהכי משפיע על הציון. המערכת מסתכלת על כמה issues פתוחים יש ביחס ל-stars, וכמה contributors יש בריפו.
מה מעלה:
- מעט issues פתוחים ביחס ל-stars
- כמה contributors (ריפו שכמה אנשים עובדים עליו נתפס כאמין יותר)
- ציון טוב בסריקת האבטחה של Tank
מה מוריד:
- הרבה issues פתוחים ביחס ל-stars
- contributor יחיד (ריפו של אדם אחד מקבל ציון נמוך יותר)
- ריפו בלי stars בכלל מתחיל עם בסיס נמוך
2. הרשאות (Permissions) - 20%
ככל שהסקיל דורש כלים עם יותר הרשאות, הציון יורד. המערכת סורקת את רשימת הכלים ב-SKILL.md ונותנת ציון לפי רמת הסיכון של כל כלי.
מה מעלה:
- שימוש רק בכלים בטוחים (Read, Grep, Glob)
- רשימת כלים קצרה וברורה
מה מוריד:
- Bash - מוריד 30 נקודות. הכלי הכי מסוכן כי הוא יכול להריץ כל פקודה
- ComputerTool - מוריד 25 נקודות. שליטה מלאה על המחשב
- Write / Edit - כל אחד מוריד 10 נקודות. כתיבה ועריכת קבצים
- WebFetch / WebSearch - כל אחד מוריד 10 נקודות. גישה לאינטרנט
- כלים מוגבלים (restricted) ספוגים חצי מהקנס
- wildcard (כל הכלים) מוריד לאפס
טיפ: אם הסקיל שלכם משתמש ב-Bash רק בשביל להריץ סקריפט Python, שווה לבדוק אם אפשר להחליף ל-Read + כתיבה ישירה. כל כלי שאתם לא באמת צריכים - תורידו מהרשימה.
3. טיפול במידע (Data Handling) - 20%
המערכת סורקת את הקוד ומחפשת סימנים של גישה למידע רגיש.
מה מעלה:
- סקיל שלא ניגש למשתני סביבה, קבצים או רשת
- תיעוד ברור של איזה מידע הסקיל צריך ולמה
מה מוריד:
- גישה למשתני סביבה (env vars), למשל קריאת מפתחות API מ-
.env - קריאה וכתיבה לקבצים
- בקשות HTTP לשירותים חיצוניים
- הרצת סקריפטים חיצוניים
- עיבוד מידע אישי (תעודות זהות, מספרי רכב, פרטי תשלום)
דוגמה: סקיל שמגיש דוחות לרשות המיסים צריך לקרוא מפתח API ממשתנה סביבה ולשלוח נתונים לשרת חיצוני. זה שימוש לגיטימי לחלוטין, אבל המערכת לא יודעת להבדיל בין זה לבין סקיל שמוציא מידע רגיש החוצה, אז הציון יורד. תעדו את זה ב-SKILL.md כדי שמשתמשים יבינו למה.
4. מוניטין מפרסם (Publisher Reputation) - 15%
נגזר מהפעילות שלכם ב-GitHub. ריפו חדש (עד 30 יום) מתחיל עם בסיס גבוה יותר (50) כדי לא להעניש מפתחים חדשים.
מה מעלה:
- Stars - כל star שווה 2 נקודות (עד 35)
- Forks - כל fork שווה 5 נקודות (עד 25)
- Contributors - כל contributor שווה 10 נקודות (עד 25)
מה מוריד:
- ריפו ותיק (מעל 30 יום) בלי stars, forks או contributors
- ריפו ותיק מתחיל עם בסיס של 15 נקודות בלבד (לעומת 50 לחדש)
טיפ: הכי עוזר פה זה stars. עודדו את הקהילה לתת star לריפו. אפילו contributor אחד נוסף (מישהו שמתקן באג או מוסיף תרגום) עושה הבדל גדול.
5. תחזוקה (Maintenance) - 10%
כמה זמן עבר מאז הקומיט האחרון. ריפו שלא נגעו בו הרבה זמן מקבל ציון נמוך.
| זמן מאז קומיט אחרון | ציון |
|---|---|
| עד שבוע | 100 |
| עד חודש | 85 |
| עד 3 חודשים | 70 |
| עד חצי שנה | 50 |
| עד שנה | 30 |
| מעל שנה | 15 |
מה מעלה:
- קומיט חדש. אפילו שינוי קטן בתיעוד מספיק
מה מוריד:
- חוסר פעילות. אחרי 3 חודשים בלי קומיט הציון מתחיל לרדת רצינית
6. תיעוד (Documentation) - 10%
בודק אם יש את קבצי התיעוד הבסיסיים.
מה מעלה:
- קובץ SKILL.md תקין (+60 נקודות)
- קובץ LICENSE (+40 נקודות)
- שניהם ביחד = 100
מה מוריד:
- אין SKILL.md = 0 נקודות (ממילא חייבים אותו)
- אין LICENSE = מפסידים 40 נקודות
טיפ: אם עדיין אין לכם LICENSE, תוסיפו. MIT זו בחירה טובה לרוב הסקילס.
שאלות נפוצות
אפשר להריץ את הבדיקה בעצמי לפני שמעלים גרסה? לא. הציון מחושב אצלנו בשרתים בזמן הסנכרון, ואין כלי שאפשר להוריד ולהריץ מקומית. חלק מהבדיקות דורשות גישה ל-GitHub API ולסורקי אבטחה שרצים רק אצלנו.
כמה זמן עד שהציון מתעדכן? סקילס של skills-il מסתנכרנים כל יום. סקילס חיצוניים (שלא שייכים לארגון) מסתנכרנים פעם בשבוע (ימי ראשון). אם דחוף, תפנו אלינו ונריץ סנכרון ידני.
הציון שלי נמוך בגלל שהסקיל צריך Bash. מה עושים? Bash מוריד 30 נקודות מציון ההרשאות. אם אתם באמת צריכים אותו (למשל להרצת סקריפטים), אז זה בסדר - הציון פשוט משקף את זה. אם אפשר להחליף ל-Read + Write, הציון ישתפר.
הסקיל שלי ניגש למידע אישי בצורה לגיטימית. מה עם הציון? המערכת לא מבדילה בין שימוש לגיטימי ללא לגיטימי. היא רק מזהה דפוסים (גישה לרשת, עיבוד מזהים אישיים, משתני סביבה). תעדו את השימוש ב-SKILL.md כדי שהמשתמשים יבינו.
הריפו שלי חדש וכבר קיבל ציון נמוך. למה? ריפו חדש אמנם מתחיל עם בסיס גבוה יותר ב-Publisher Reputation (50 במקום 15), אבל בלי stars או forks הציון עדיין לא גבוה. חוץ מזה, ציוני הרשאות וטיפול במידע תלויים בתוכן הסקיל עצמו.
צ'קליסט לשיפור מהיר
- תדחפו קומיט חדש (מעלה Maintenance)
- תוודאו שיש קובץ LICENSE (מעלה Documentation ב-40 נקודות)
- תורידו כלים מיותרים מרשימת ה-allowed-tools (מעלה Permissions)
- תצמצמו גישה למשתני סביבה למינימום ההכרחי (מעלה Data Handling)
- תעודדו stars לריפו (מעלה Publisher Reputation)
- תזמינו contributor נוסף, אפילו לתרגום או תיקון קטן (מעלה Code Quality + Publisher Reputation)