Compétences codebase-cleanup-deps-audit

📦

codebase-cleanup-deps-audit

Name: codebase-cleanup-deps-audit
Author: sickn33

Risque faible ⚙️ Commandes externes🌐 Accès réseau📁 Accès au système de fichiers

مراجعة التبعيات الأمنية للكشف عن الثغرات الأمنية

حافظ على أمان مشاريعك من خلال تحديد التبعيات vulnerable أو القديمة أو غير المتوافقة مع التراخيص. تقوم هذه المهارة بفحص شجرة التبعيات لديك والتحقق من قواعد بيانات الثغرات الأمنية وتوفير خطوات معالجة ذات أولوية.

Prend en charge: Claude Codex Code(CC)

📊 71 Adéquat

Télécharger le ZIP du skill

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

Activez et commencez à utiliser

Tester

Utilisation de "codebase-cleanup-deps-audit". مسح الثغرات في مشروع Node.js يحتوي على 45 تبعية

Résultat attendu:

ملخص المراجعة الأمنية
إجمالي التبعيات: 45
الثغرات المكتشفة: 3 (1 حرجة، 2 عالية)
حرجة: lodash <4.17.21 - Prototype Pollution (CVE-2021-23337) - الترقية إلى 4.17.21
عالية: minimist <1.2.6 - Prototype Pollution (CVE-2021-44906) - الترقية إلى 1.2.6
عالية: node-fetch <2.6.7 - Information Disclosure (CVE-2022-0235) - الترقية إلى 2.6.7
الإجراء الموصى به: تشغيل npm audit fix --force لتطبيق التصحيحات

Utilisation de "codebase-cleanup-deps-audit". فحص الامتثال للتراخيص لمشروع تجاري

Résultat attendu:

تقرير الامتثال للتراخيص
ترخيص المشروع: احتكاري
إجمالي التبعيات: 128
المشاكل المكتشفة: 2
GPL-3.0: package-name - ترخيص Copyleft غير متوافق مع الاستخدام الاحتكاري
غير معروف: legacy-lib - الترخيص غير محدد، требуется مراجعة قانونية
التوصية: استبدال تبعية GPL ببديل MIT أو الحصول على ترخيص تجاري

Audit de sécurité

Risque faible

v1 • 2/25/2026

Static analysis detected 50 patterns in 2 files (821 lines), but all findings are false positives from markdown documentation containing code examples. The skill is a legitimate dependency audit tool with no malicious intent. Minor risk indicators exist due to documented use of external commands and network APIs for dependency scanning.

Fichiers analysés

821

Lignes analysées

résultats

Total des audits

Problèmes à risque moyen (1)

resources/implementation-playbook.md:12-748

Static Analysis False Positives - External Commands

Static scanner detected 33 'backtick execution' and shell command patterns. These are all false positives - the patterns exist in markdown code blocks (```python, ```bash, ```yaml) within documentation files, not in executable code. The skill references external commands like npm audit, pip, and git for legitimate dependency scanning operations.

Problèmes à risque faible (2)

resources/implementation-playbook.md:144-147 resources/implementation-playbook.md:184-185 resources/implementation-playbook.md:467-468

Network API References in Documentation

Static scanner detected fetch calls and HTTP client usage. These are documentation examples showing how to call vulnerability databases (npm audit API, PyPI, OSS Index) for legitimate security scanning purposes.

resources/implementation-playbook.md:234

Filesystem Operations in Examples

Hard link creation pattern detected in Python code example for dependency tree analysis. This is documentation showing file operations for scanning project directories.

Facteurs de risque

⚙️ Commandes externes (3)

resources/implementation-playbook.md:584-631 SKILL.md:37 SKILL.md:53

🌐 Accès réseau (3)

resources/implementation-playbook.md:144-147 resources/implementation-playbook.md:184-185 resources/implementation-playbook.md:467-468

📁 Accès au système de fichiers (1)

resources/implementation-playbook.md:234

Audité par: claude

Score de qualité

Architecture

100

Maintenabilité

Contenu

Communauté

Sécurité

Conformité aux spécifications

Ce que vous pouvez construire

مراجعة أمنية قبل الإصدار

قم بإجراء مراجعة شاملة للتبعيات قبل إصدار إصدار جديد لتحديد الثغرات الأمنية وإصلاحها التي قد تؤثر على المستخدمين.

مراجعة الامتثال للتراخيص

تحقق من أن جميع التبعيات لديها تراخيص متوافقة قبل دمجها في منتج تجاري لتجنب المخاطر القانونية.

تقييم الديون التقنية

حدد التبعيات القديمة وقم بتحديد أولويات التحديثات بناءً على العمر والتغييرات الحادة والتأثير الأمني.

Essayez ces prompts

مسح سريع للثغرات

افحص مشروعي بحثًا عن ثغرات في التبعيات. تحقق من package.json وأبلغ عن أي مشاكل حرجة أو عالية الخطورة مع الإصلاحات الموصى بها.

مراجعة كاملة للتبعيات

أجرِ مراجعة كاملة للتبعيات بما في ذلك فحص الثغرات الأمنية والتحقق من الامتثال للتراخيص وتحليل الحزم القديمة. رتب النتائج حسب الخطورة وقدم خطوات معالجة قابلة للتنفيذ.

فحص توافق التراخيص

حلل جميع التبعيات للتوافق مع ترخيص MIT لمشروعنا. علّم أي تراخيص GPL أو AGPL أو تراخيص احتكارية واقترح بدائل.

خطة تحديث آلية

أنشئ خطة تحديث ذات أولوية للتبعيات. جمّع التحديثات حسب مستوى المخاطر (تصحيحات الأمان أولاً، ثم الإصدارات الرئيسية)، وقدر الجهد لكل منها، وأنشئ أوامر التحديث.

Bonnes pratiques

قم بإجراء مراجعات للتبعيات على جدول منتظم (أسبوعيًا أو قبل كل إصدار)
ثبّت إصدارات التبعيات في ملفات القفل لضمان Builds قابلة للتكرار
راجع واختبر تحديثات الأمان في بيئة staging قبل النشر إلى الإنتاج

Éviter

تجاهل الثغرات الحرجة لأن الاختبارات تمر محليًا
تحديث جميع التبعيات دفعة واحدة دون اختبار كل تغيير
استخدام تبعيات ذات تراخيص مجهولة أو غير متوافقة في المنتجات التجارية

Foire aux questions

ما مدراء الحزم الذين تدعمهم هذه المهارة؟

تدعم المهارة npm/Yarn (JavaScript)، pip/Poetry (Python)، gem (Ruby)، maven/gradle (Java)، go modules، cargo (Rust)، composer (PHP)، وNuGet (.NET).

كيف تتحقق المهارة من الثغرات الأمنية؟

تستفسر المهارة من قواعد بيانات الثغرات العامة بما في ذلك npm audit API، وقاعدة بيانات PyPI safety، وإشعارات أمان GitHub، وSonatype OSS Index لمطابقة تبعياتك مع CVEs المعروفة.

هل يمكن لهذه المهارة إصلاح الثغرات الأمنية تلقائيًا؟

تولد المهارة أوامر المعالجة وقوالب طلبات السحب، ولكنها تتطلب تأكيد المستخدم قبل إجراء أي تغييرات على مشروعك.

ماذا يجب أن أفعل إذا لم يكن للتبعية ترخيص؟

عامل التبعيات غير المرخصة على أنها عالية المخاطر. اتصل بالمشرف لتوضيح الترخيص، أو استبدل ببديل مرخص بشكل صحيح لتجنب التعرض القانوني.

كم مرة يجب أن أقوم بمراجعات التبعيات؟

قم بتشغيل المراجعات أسبوعيًا عبر CI/CD، وقبل كل إصدار، وفورًا عند الكشف عن ثغرات جديدة في شجرة التبعيات لديك.

هل تتحقق هذه المهارة من التبعيات غير المباشرة؟

نعم، تحلل المهارة كلاً من التبعيات المباشرة والتبعيات غير المباشرة (تبعيات التبعيات) لتوفير تغطية كاملة.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/codebase-cleanup-deps-audit

Réf

main

Structure de fichiers

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md