技能 dependency-updater
📦

dependency-updater

安全 🌐 网络访问⚙️ 外部命令

التحقق من تحديثات التبعيات وتحليلها

也可从以下获取: softaworks

إدارة تبعيات المشروع تستغرق وقتاً وتحملك للمخاطر. إهمال تحديثات الأمان أو تجاهل التغييرات المتسببة في الأعطال يمكن أن يؤدي إلى توقف أنظمة الإنتاج. تحلل هذه المهارة التبعيات القديمة، وتحدد الثغرات الأمنية، وتقدم توصيات ذات أولوية مع ملخصات سجل التغييرات.

支持: Claude Codex Code(CC)
⚠️ 68
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“dependency-updater”。 @dependency-updater --security-only package.json

预期结果:

  • حرج: express 4.17.1 → 4.18.2 (يصلح CVE-2022-XXX ثغرة المسار)
  • عالي: lodash 4.17.20 → 4.17.21 (تقوية أمنية)
  • موصى به: تحديث express فوراً، ثم التحقق من نجاح مجموعة الاختبارات

正在使用“dependency-updater”。 @dependency-updater --major requirements.txt

预期结果:

  • Django 3.2 → 4.0 (يتطلب Python 3.8+)
  • متعطل: واجهة asgiref المتزامنة تغيرت
  • ترحيل: راجع https://docs.djangoproject.com/en/4.0/releases/4.0/

正在使用“dependency-updater”。 @dependency-updater --dry-run pom.xml

预期结果:

  • Spring Boot 2.6 → 2.7 (12 تحديثاً ثانوياً متاحاً)
  • جميع التصحيحات آمنة للتطبيق
  • رئيسي: راجع 3 تغييرات متسببة في الأعطال قبل الترقية

安全审计

安全
v5 • 1/17/2026

This is a pure prompt-based skill containing only AI assistant instructions. The static scanner flagged 22 patterns as high-risk, but all are false positives. The flagged terms like 'curl', 'changelog', 'breaking changes', and 'Fetch' appear in documentation describing legitimate dependency management operations, not in executable code. This skill has no independent capabilities - it only provides guidance when invoked by an AI assistant. The skill-report.json correctly lists empty risk_factor_evidence and confirms no executable code, scripts, network calls, or file system access capabilities.

2
已扫描文件
320
分析行数
2
发现项
5
审计总数

风险因素

🌐 网络访问 (3)
skill-report.json:163 skill-report.json:6 SKILL.md:103
⚙️ 外部命令 (3)
SKILL.md:70-76 SKILL.md:76-89 SKILL.md:89-116
审计者: claude 查看审计历史 →

质量评分

38
架构
100
可维护性
85
内容
19
社区
100
安全
83
规范符合性

你能构建什么

مراجعة التبعيات الأسبوعية

مراجعة جميع التبعيات القديمة وتحديد أي منها يحتاج إلى تصحيحات أمنية فورية

التحضير للتدقيق الأمني

تحديد التبعيات الضعيفة قبل عمليات التدقيق الأمني أو فحوصات الامتثال

تخطيط الترقية للإصدار الرئيسي

تخطيط ترقية آمنة للإصدار الرئيسي من خلال فهم التغييرات المتسببة في الأعطال ومتطلبات الترحيل

试试这些提示

مسح سريع للأمن 
@dependency-updater --security-only
مراجعة التحديثات الرئيسية 
@dependency-updater --major
التحقق من ملف محدد 
@dependency-updater package.json
معاينة التنفيذ التجريبي 
@dependency-updater --dry-run

最佳实践

  • تشغيل تحديثات التبعيات في فرع منفصل واختبارها بعناية قبل الدمج
  • مراجعة سجلات التغييرات وأدلة الترحيل قبل تطبيق تحديثات الإصدار الرئيسي
  • استخدم --dry-run أولاً لمعاينة التغييرات وتقييم التأثير قبل تنفيذ التحديثات

避免

  • تحديث جميع التبعيات دفعة واحدة دون مراجعة سجلات التغييرات
  • تجاهل التحديثات الأمنية للحزم الصغيرة
  • تطبيق تحديثات الإصدار الرئيسي مباشرة على الإنتاج دون اختبار

常见问题

ما هي تنسيقات ملفات التبعيات المدعومة؟
يدعم package.json (npm/yarn/pnpm), requirements.txt (Python), go.mod (Go), Cargo.toml (Rust), و pom.xml/build.gradle (Java).
هل هذه المهارة تحدث تبعياتي فعلياً؟
لا. هذه المهارة تحلل التبعيات وتوفر التوصيات. يجب عليك تشغيل أوامر مدير الحزم الفعلي لتطبيق التحديثات.
كيف تكتشف المهارة الثغرات الأمنية؟
يحلل مساعد الذكاء الاصطناعي إصدارات التبعيات مقابل قواعد البيانات والنصائح المعروفة للثغرات الأمنية خلال عملية التحليل.
هل بيانات مشروعي آمنة؟
نعم. هذه مهارة تعتمد على الموجهات التي تقرأ فقط محتوى ملفات التبعيات. لا يتم تخزين البيانات أو نقلها خارجياً.
لماذا فشل تحديثي بعد اتباع التوصيات؟
قد لا تغطي سجلات التغييرات جميع الحالات الحدية. اختبر التحديثات دائماً في بيئة تجريبية وتحقق من مجموعة الاختبارات قبل النشر على الإنتاج.
كيف يختلف هذا عن Dependabot؟
توفر هذه المهارة تحليلاً وتفسيرات مدعومة بالذكاء الاصطناعي. يقوم Dependabot بأتمتة طلبات السحب. استخدم كلاهما معاً للحصول على أفضل النتائج.

开发者详情

许可证

MIT

仓库

https://github.com/CuriousLearner/devkit/tree/main/skills/dependency-updater

引用

main

文件结构

📄 SKILL.md