dependency-management-deps-audit
Abhängigkeiten auf Sicherheitslücken und Lizenzprobleme prüfen
Die sichere Verwaltung von Abhängigkeiten ist eine Herausforderung aufgrund ständig neuer Sicherheitslücken und komplexer Lizenzanforderungen. Dieser Skill automatisiert die Schwachstellen-Scans, Lizenz-Compliance-Prüfungen und bietet priorisierte Behebungsstrategien.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "dependency-management-deps-audit". Scan dependencies in package.json for vulnerabilities
Résultat attendu:
Security Scan Results:
CRITICAL (2):
- lodash@4.17.15: Prototype pollution vulnerability (CVE-2021-23337). Update to 4.17.21
- axios@0.21.0: SSRF vulnerability (CVE-2021-3749). Update to 0.21.2
HIGH (1):
- node-fetch@2.6.0: Information exposure (CVE-2022-0155). Update to 2.6.7
Total vulnerabilities: 3 across 245 dependencies
Recommended action: Update critical packages within 24 hours
Utilisation de "dependency-management-deps-audit". Check license compatibility for MIT project
Résultat attendu:
License Compliance Report:
Compatible (242 packages):
- MIT: 180 packages
- Apache-2.0: 45 packages
- BSD-3-Clause: 15 packages
- ISC: 2 packages
Review Required (3 packages):
- mystery-lib: Unknown license - no license file found
- legacy-utils: GPL-3.0 - incompatible with MIT projects
- old-module: No license specified
Action: Replace GPL-3.0 packages or obtain alternative licensing
Audit de sécurité
SûrAll static findings are false positives. The detected patterns exist in markdown documentation files containing code examples, not executable code. The implementation-playbook.md (767 lines) and SKILL.md (47 lines) are instructional documents showing users how to implement security scanning tools. No actual shell execution, network calls, or filesystem operations occur in the skill itself.
Score de qualité
Ce que vous pouvez construire
Sicherheitsaudit vor der Veröffentlichung
Scannen Sie vor dem Ausliefern von Produktionscode alle Abhängigkeiten, um kritische Sicherheitslücken zu identifizieren und zu beheben. Generieren Sie Compliance-Berichte für Sicherheitsüberprüfungen.
Lizenz-Compliance-Verifizierung
Überprüfen Sie alle Abhängigkeitslizenzen, um die Kompatibilität mit Ihrer Projektlizenz sicherzustellen. Identifizieren Sie GPL- oder proprietäre Lizenzen, die rechtliche Risiken darstellen könnten.
Workflow zur Abhängigkeitswartung
Richten Sie automatisierte Scans ein, um veraltete Pakete zu identifizieren. Erhalten Sie priorisierte Listen von Updates basierend auf Sicherheitsfixes und Alter.
Essayez ces prompts
Scannen Sie die Abhängigkeiten meines Projekts auf bekannte Sicherheitslücken. Identifizieren Sie den Paketnamen, die aktuelle Version, den Schweregrad der Sicherheitslücke und die empfohlene Fix-Version.
Analysieren Sie alle Abhängigkeitslizenzen in diesem Projekt. Mein Projekt verwendet die MIT-Lizenz. Identifizieren Sie inkompatible Lizenzen und erklären Sie die rechtlichen Risiken für jede.
Überprüfen Sie meine Abhängigkeiten und erstellen Sie einen priorisierten Update-Plan. Sortieren Sie zuerst nach Sicherheitsrisiko, dann nach dem Alter jedes Pakets. Schließen Sie den geschätzten Aufwand für jedes Update ein.
Führen Sie ein umfassendes Supply-Chain-Sicherheitsaudit durch. Prüfen Sie auf Typosquatting-Risiken, ungewöhnliche Maintainer-Wechsel und Pakete mit verdächtigem Verhalten. Markieren Sie Pakete, die einer manuellen Überprüfung bedürfen.
Bonnes pratiques
- Führen Sie Schwachstellen-Scans in CI/CD durch, bevor Sie Pull-Requests zusammenführen
- Führen Sie eine kuratierte Liste genehmigter Lizenzen für Ihre Organisation
- Pinnen Sie exakte Abhängigkeitsversionen und aktualisieren Sie durch automatisierte PRs
Éviter
- Kritische Sicherheitslücken ignorieren, weil Tests lokal bestehen
- Versionsbereiche wie '*' verwenden, die unerwartete Updates erlauben
- Abhängigkeiten hinzufügen, ohne ihre Lizenzbedingungen zu überprüfen