技能 dependency-updater
📦

dependency-updater

低風險 ⚡ 包含腳本⚙️ 外部命令📁 檔案系統存取

تحديث التبعيات عبر أي مشروع

也可從以下取得: CuriousLearner

إدارة التبعيات عبر لغات متعددة تستغرق وقتاً وعرضة للأخطاء. تكتشف هذه المهارة نوع مشروعك تلقائياً، وتطبيق التحديثات الآمنة مع الحماية من التغييرات المكسرة، وتشغيل فحوصات الأمان.

支援: Claude Codex Code(CC)
📊 70 充足
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「dependency-updater」。 update my dependencies

預期結果:

  • Detected Node.js project with package.json
  • Scanning for updates...
  • Auto-applied 5 PATCH updates: express (4.19.2 -> 4.19.3), lodash (4.17.21 -> 4.17.24), etc.
  • Found 2 MAJOR updates:
  • - react: ^18.0.0 -> ^19.0.0 (breaking changes expected)
  • - axios: ^1.0.0 -> ^1.0.0
  • Do you want to update react? [y/N]

正在使用「dependency-updater」。 audit my dependencies for security vulnerabilities

預期結果:

  • Running security audit...
  • Critical: 1 vulnerability found
  • - CVE-2024-1234: Prototype pollution in lodash
  • - Fix: Update lodash to >=4.17.24
  • High: 2 vulnerabilities found
  • - CVE-2024-5678: XSS in express
  • - CVE-2024-9012: DoS in axios
  • Recommendation: Update affected packages immediately

安全審計

低風險
v1 • 1/24/2026

Legitimate dependency management skill. Static findings are false positives: scanner misidentified YAML frontmatter and version documentation as cryptographic algorithms. External commands are documentation examples and scripts use hardcoded package manager operations with no injection vectors.

4
已掃描檔案
833
分析行數
6
發現項
1
審計總數
中風險問題 (1)
README.md:31-33SKILL.md:17-19
External Command Execution in Documentation
Documentation contains 151 instances of shell commands (npm, pip, cargo, etc.) shown as examples. These are documentation only, not executable code. Scripts use hardcoded commands without user input.
低風險問題 (2)
README.md:282-286SKILL.md:487-491
Hardcoded Documentation URLs
Documentation contains hardcoded URLs to GitHub repositories (taze, npm-check-updates, pip-review). These are reference links, not network requests.
scripts/check-tool.sh:12scripts/run-taze.sh:9
Tool Existence Checks
Scripts use command -v to check if tools are installed. Standard practice for prerequisite validation.

風險因素

⚡ 包含腳本 (2)
scripts/check-tool.sh:1-23 scripts/run-taze.sh:1-27
⚙️ 外部命令 (1)
SKILL.md:17-19
📁 檔案系統存取 (2)
scripts/check-tool.sh:12 scripts/run-taze.sh:9

偵測到的模式

Scanner Misidentification - YAML Frontmatter
審計者: claude

品質評分

59
架構
100
可維護性
85
內容
21
社群
81
安全
83
規範符合性

你能建構什麼

صيانة المشاريع الشخصية

حافظ على تحديث مشاريعك الشخصية مع أحدث إصدارات التبعيات مع تجنب التغييرات المكسرة.

الامتثال الأمني

فحص التبعيات بانتظام بحثاً عن الثغرات وتلقي توصيات قائمة على الخطورة للإصلاح.

حوكمة التبعيات للفريق

تطبيق سياسات تحديث متسقة عبر مستودعات متعددة مع سلوك تحديث آمن افتراضياً.

試試這些提示

تحديث سريع 
update my dependencies
فحص أمني 
audit my dependencies for security vulnerabilities
التشخيص 
my npm install keeps failing, diagnose the issue
لغة محددة 
check for outdated Python packages and update them safely

最佳實務

  • تشغيل تحديثات التبعيات في فرع git نظيف ومراجعة التغييرات قبل الدمج
  • دائماً تشغيل الاختبارات بعد التحديثات الرئيسية للتحقق من التوافق
  • ارتكام ملفات القفل (package-lock.json، yarn.lock، go.sum) مع تغييرات التبعيات

避免

  • الموافقة تلقائياً على جميع تحديثات الإصدار الرئيسي دون مراجعة سجلات التغييرات
  • تجاهل نتائج فحص الأمان بسبب низкой серьёзности
  • تحديث الإصدارات المثبتة/المقفل التي تم تثبيتها عمداً

常見問題

هل تعدل هذه المهارة كودي؟
لا. هذه المهارة فقط تحدّث أرقام إصدارات التبعيات في ملفات الحزم. لا تعدل كود التطبيق للتكيف مع التغييرات المكسرة من ترقيات الإصدار الرئيسي.
هل من الآمن تطبيق التحديثات الثانوية والتصحيحية تلقائياً؟
نعم. وفق اتفاقية الإصدار الدلالي، التحديثات الثانوية والتصحيحية متوافقة مع الإصدارات السابقة. تضيف ميزات أو تصيح الأخطاء دون كسر الوظائف الموجودة.
ماذا لو كسر تحديث رئيسي تطبيقي؟
المهارة تطالبك بالموافقة على كل تحديث رئيسي بشكل فردي. راجع سجل التغييرات قبل الموافقة. إذا حدث خطأ ما، يمكنك التراجع عن التغيير في نظام التحكم بالإصدارات.
هل هذا يعمل مع المستودعات الأحادية؟
نعم. لمشاريع Node.js، تدعم المهارة الوضع التكراري عبر taze -r. للغات الأخرى، تشغيل المهارة في كل دليل فرعي يحتوي على ملف حزمة.
ما هي الأدوات الأمنية التي تستخدمها هذه المهارة؟
تستخدم أدوات خاصة بالنظام البيئي: npm audit (Node.js)، pip-audit وsafety (Python)، govulncheck (Go)، cargo audit (Rust)، bundle audit (Ruby)، وdotnet list package --vulnerable (.NET).
هل يمكنني استخدام هذا دون اتصال؟
جزئياً. التحقق من الحزم القديمة يعمل دون اتصال. فحوصات الأمان تتطلب وصولاً للإنترنت لجلب قواعد بيانات الثغرات. تثبيت الأدوات يتطلب وصولاً للإنترنت.

開發者詳情

作者

softaworks

授權

MIT

儲存庫

https://github.com/softaworks/agent-toolkit/tree/main/skills/dependency-updater/

引用

main

檔案結構

📁 scripts/

📄 check-tool.sh

📄 run-taze.sh

📄 README.md

📄 SKILL.md