codebase-cleanup-deps-audit
مراجعة التبعيات الأمنية للكشف عن الثغرات الأمنية
حافظ على أمان مشاريعك من خلال تحديد التبعيات vulnerable أو القديمة أو غير المتوافقة مع التراخيص. تقوم هذه المهارة بفحص شجرة التبعيات لديك والتحقق من قواعد بيانات الثغرات الأمنية وتوفير خطوات معالجة ذات أولوية.
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "codebase-cleanup-deps-audit". مسح الثغرات في مشروع Node.js يحتوي على 45 تبعية
النتيجة المتوقعة:
- ملخص المراجعة الأمنية
- إجمالي التبعيات: 45
- الثغرات المكتشفة: 3 (1 حرجة، 2 عالية)
- حرجة: lodash <4.17.21 - Prototype Pollution (CVE-2021-23337) - الترقية إلى 4.17.21
- عالية: minimist <1.2.6 - Prototype Pollution (CVE-2021-44906) - الترقية إلى 1.2.6
- عالية: node-fetch <2.6.7 - Information Disclosure (CVE-2022-0235) - الترقية إلى 2.6.7
- الإجراء الموصى به: تشغيل npm audit fix --force لتطبيق التصحيحات
استخدام "codebase-cleanup-deps-audit". فحص الامتثال للتراخيص لمشروع تجاري
النتيجة المتوقعة:
- تقرير الامتثال للتراخيص
- ترخيص المشروع: احتكاري
- إجمالي التبعيات: 128
- المشاكل المكتشفة: 2
- GPL-3.0: package-name - ترخيص Copyleft غير متوافق مع الاستخدام الاحتكاري
- غير معروف: legacy-lib - الترخيص غير محدد، требуется مراجعة قانونية
- التوصية: استبدال تبعية GPL ببديل MIT أو الحصول على ترخيص تجاري
التدقيق الأمني
مخاطر منخفضةStatic analysis detected 50 patterns in 2 files (821 lines), but all findings are false positives from markdown documentation containing code examples. The skill is a legitimate dependency audit tool with no malicious intent. Minor risk indicators exist due to documented use of external commands and network APIs for dependency scanning.
مشكلات متوسطة المخاطر (1)
مشكلات منخفضة المخاطر (2)
عوامل الخطر
⚙️ الأوامر الخارجية (3)
🌐 الوصول إلى الشبكة (3)
📁 الوصول إلى نظام الملفات (1)
درجة الجودة
ماذا يمكنك بناءه
مراجعة أمنية قبل الإصدار
قم بإجراء مراجعة شاملة للتبعيات قبل إصدار إصدار جديد لتحديد الثغرات الأمنية وإصلاحها التي قد تؤثر على المستخدمين.
مراجعة الامتثال للتراخيص
تحقق من أن جميع التبعيات لديها تراخيص متوافقة قبل دمجها في منتج تجاري لتجنب المخاطر القانونية.
تقييم الديون التقنية
حدد التبعيات القديمة وقم بتحديد أولويات التحديثات بناءً على العمر والتغييرات الحادة والتأثير الأمني.
جرّب هذه الموجهات
افحص مشروعي بحثًا عن ثغرات في التبعيات. تحقق من package.json وأبلغ عن أي مشاكل حرجة أو عالية الخطورة مع الإصلاحات الموصى بها.
أجرِ مراجعة كاملة للتبعيات بما في ذلك فحص الثغرات الأمنية والتحقق من الامتثال للتراخيص وتحليل الحزم القديمة. رتب النتائج حسب الخطورة وقدم خطوات معالجة قابلة للتنفيذ.
حلل جميع التبعيات للتوافق مع ترخيص MIT لمشروعنا. علّم أي تراخيص GPL أو AGPL أو تراخيص احتكارية واقترح بدائل.
أنشئ خطة تحديث ذات أولوية للتبعيات. جمّع التحديثات حسب مستوى المخاطر (تصحيحات الأمان أولاً، ثم الإصدارات الرئيسية)، وقدر الجهد لكل منها، وأنشئ أوامر التحديث.
أفضل الممارسات
- قم بإجراء مراجعات للتبعيات على جدول منتظم (أسبوعيًا أو قبل كل إصدار)
- ثبّت إصدارات التبعيات في ملفات القفل لضمان Builds قابلة للتكرار
- راجع واختبر تحديثات الأمان في بيئة staging قبل النشر إلى الإنتاج
تجنب
- تجاهل الثغرات الحرجة لأن الاختبارات تمر محليًا
- تحديث جميع التبعيات دفعة واحدة دون اختبار كل تغيير
- استخدام تبعيات ذات تراخيص مجهولة أو غير متوافقة في المنتجات التجارية
الأسئلة المتكررة
ما مدراء الحزم الذين تدعمهم هذه المهارة؟
كيف تتحقق المهارة من الثغرات الأمنية؟
هل يمكن لهذه المهارة إصلاح الثغرات الأمنية تلقائيًا؟
ماذا يجب أن أفعل إذا لم يكن للتبعية ترخيص؟
كم مرة يجب أن أقوم بمراجعات التبعيات؟
هل تتحقق هذه المهارة من التبعيات غير المباشرة؟
تفاصيل المطور
المؤلف
sickn33الترخيص
MIT
المستودع
https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/codebase-cleanup-deps-auditمرجع
main
بنية الملفات