Compétences codebase-cleanup-deps-audit
📦

codebase-cleanup-deps-audit

Risque faible ⚙️ Commandes externes🌐 Accès réseau📁 Accès au système de fichiers

Auditar Dependencias en Busca de Vulnerabilidades de Seguridad

Mantenga sus proyectos seguros identificando dependencias vulnerables, desactualizadas o incompatibles con licencias. Esta habilidad escanea su árbol de dependencias, consulta bases de datos de vulnerabilidades y proporciona pasos de remediación priorizados.

Prend en charge: Claude Codex Code(CC)
📊 71 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "codebase-cleanup-deps-audit". Scan for vulnerabilities in a Node.js project with 45 dependencies

Résultat attendu:

  • Resumen de Auditoría de Seguridad
  • Total de Dependencias: 45
  • Vulnerabilidades Encontradas: 3 (1 crítica, 2 altas)
  • Crítica: lodash <4.17.21 - Contaminación de Prototipo (CVE-2021-23337) - Actualizar a 4.17.21
  • Alta: minimist <1.2.6 - Contaminación de Prototipo (CVE-2021-44906) - Actualizar a 1.2.6
  • Alta: node-fetch <2.6.7 - Divulgación de Información (CVE-2022-0235) - Actualizar a 2.6.7
  • Acción Recomendada: Ejecute npm audit fix --force para aplicar parches

Utilisation de "codebase-cleanup-deps-audit". Check license compliance for a commercial project

Résultat attendu:

  • Informe de Cumplimiento de Licencias
  • Licencia del Proyecto: Propietaria
  • Total de Dependencias: 128
  • Problemas Encontrados: 2
  • GPL-3.0: package-name - Licencia copyleft incompatible con uso propietario
  • Desconocida: legacy-lib - Licencia no especificada, se requiere revisión legal
  • Recomendación: Reemplazar la dependencia GPL con una alternativa MIT u obtener licencia comercial

Audit de sécurité

Risque faible
v1 • 2/25/2026

Static analysis detected 50 patterns in 2 files (821 lines), but all findings are false positives from markdown documentation containing code examples. The skill is a legitimate dependency audit tool with no malicious intent. Minor risk indicators exist due to documented use of external commands and network APIs for dependency scanning.

2
Fichiers analysés
821
Lignes analysées
6
résultats
1
Total des audits
Problèmes à risque moyen (1)
resources/implementation-playbook.md:12-748
Static Analysis False Positives - External Commands
Static scanner detected 33 'backtick execution' and shell command patterns. These are all false positives - the patterns exist in markdown code blocks (```python, ```bash, ```yaml) within documentation files, not in executable code. The skill references external commands like npm audit, pip, and git for legitimate dependency scanning operations.
Problèmes à risque faible (2)
resources/implementation-playbook.md:144-147resources/implementation-playbook.md:184-185resources/implementation-playbook.md:467-468
Network API References in Documentation
Static scanner detected fetch calls and HTTP client usage. These are documentation examples showing how to call vulnerability databases (npm audit API, PyPI, OSS Index) for legitimate security scanning purposes.
resources/implementation-playbook.md:234
Filesystem Operations in Examples
Hard link creation pattern detected in Python code example for dependency tree analysis. This is documentation showing file operations for scanning project directories.

Facteurs de risque

⚙️ Commandes externes (3)
resources/implementation-playbook.md:584-631 SKILL.md:37 SKILL.md:53
🌐 Accès réseau (3)
resources/implementation-playbook.md:144-147 resources/implementation-playbook.md:184-185 resources/implementation-playbook.md:467-468
📁 Accès au système de fichiers (1)
resources/implementation-playbook.md:234
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
81
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Auditoría de Seguridad Pre-Lanzamiento

Ejecute una auditoría completa de dependencias antes de lanzar una nueva versión para identificar y corregir vulnerabilidades que podrían afectar a los usuarios.

Revisión de Cumplimiento de Licencias

Verifique que todas las dependencias tengan licencias compatibles antes de integrarlas en un producto comercial para evitar riesgos legales.

Evaluación de Deuda Técnica

Identifique dependencias desactualizadas y priorice actualizaciones basándose en la antigüedad, cambios disruptivos e impacto de seguridad.

Essayez ces prompts

Escaneo Rápido de Vulnerabilidades 
Scan my project for dependency vulnerabilities. Check package.json and report any critical or high severity issues with recommended fixes.
Auditoría Completa de Dependencias 
Perform a complete dependency audit including vulnerability scanning, license compliance check, and outdated package analysis. Prioritize findings by severity and provide actionable remediation steps.
Verificación de Compatibilidad de Licencias 
Analyze all dependencies for license compatibility with our MIT-licensed project. Flag any GPL, AGPL, or proprietary licenses and suggest alternatives.
Plan de Actualización Automatizado 
Create a prioritized dependency update plan. Group updates by risk level (security patches first, then major versions), estimate effort for each, and generate update commands.

Bonnes pratiques

  • Ejecute auditorías de dependencias en un horario regular (semanal o antes de cada lanzamiento)
  • Fije versiones de dependencias en archivos lock para garantizar builds reproducibles
  • Revise y pruebe actualizaciones de seguridad en staging antes de desplegar a producción

Éviter

  • Ignorar vulnerabilidades críticas porque las pruebas pasan localmente
  • Actualizar todas las dependencias a la vez sin probar cada cambio
  • Usar dependencias con licencias desconocidas o incompatibles en productos comerciales

Foire aux questions

¿Qué gestores de paquetes soporta esta habilidad?
La habilidad soporta npm/Yarn (JavaScript), pip/Poetry (Python), gem (Ruby), maven/gradle (Java), go modules, cargo (Rust), composer (PHP), y NuGet (.NET).
¿Cómo verifica la habilidad las vulnerabilidades?
Consulta bases de datos de vulnerabilidades públicas incluyendo npm audit API, base de datos PyPI safety, GitHub Security Advisories, y Sonatype OSS Index para comparar sus dependencias con CVEs conocidas.
¿Puede esta habilidad corregir vulnerabilidades automáticamente?
La habilidad genera comandos de remediación y plantillas de pull request, pero requiere confirmación del usuario antes de realizar cualquier cambio en su proyecto.
¿Qué debo hacer si una dependencia no tiene licencia?
Trate las dependencias sin licencia como de alto riesgo. Contacte al mantenedor para aclarar la licencia, o reemplace con una alternativa correctamente licenciada para evitar exposición legal.
¿Con qué frecuencia debo ejecutar auditorías de dependencias?
Ejecute auditorías semanalmente vía CI/CD, antes de cada lanzamiento, e inmediatamente cuando se divulguen nuevas vulnerabilidades en su árbol de dependencias.
¿Esta habilidad verifica dependencias transitivas?
Sí, la habilidad analiza tanto dependencias directas como dependencias transitivas (dependencias de dependencias) para proporcionar cobertura completa.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/codebase-cleanup-deps-audit

Réf

main

Structure de fichiers

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md