Compétences dependency-management-deps-audit
📦

dependency-management-deps-audit

Sûr

Auditar dependencias en busca de vulnerabilidades y problemas de licencias

Gestionar dependencias de forma segura es un desafío con constantes nuevas vulnerabilidades y requisitos complejos de licencias. Esta skill automatiza el escaneo de vulnerabilidades, verificaciones de cumplimiento de licencias y proporciona estrategias de remediación priorizadas.

Prend en charge: Claude Codex Code(CC)
🥉 74 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "dependency-management-deps-audit". Escanear dependencias en package.json en busca de vulnerabilidades

Résultat attendu:

Resultados del Escaneo de Seguridad:

CRÍTICAS (2):
- lodash@4.17.15: Vulnerabilidad de contaminación de prototipos (CVE-2021-23337). Actualizar a 4.17.21
- axios@0.21.0: Vulnerabilidad SSRF (CVE-2021-3749). Actualizar a 0.21.2

ALTA (1):
- node-fetch@2.6.0: Exposición de información (CVE-2022-0155). Actualizar a 2.6.7

Total de vulnerabilidades: 3 en 245 dependencias
Acción recomendada: Actualizar paquetes críticos dentro de 24 horas

Utilisation de "dependency-management-deps-audit". Verificar compatibilidad de licencias para proyecto MIT

Résultat attendu:

Informe de Cumplimiento de Licencias:

Compatibles (242 paquetes):
- MIT: 180 paquetes
- Apache-2.0: 45 paquetes
- BSD-3-Clause: 15 paquetes
- ISC: 2 paquetes

Requieren Revisión (3 paquetes):
- mystery-lib: Licencia desconocida - no se encontró archivo de licencia
- legacy-utils: GPL-3.0 - incompatible con proyectos MIT
- old-module: Sin licencia especificada

Acción: Reemplazar paquetes GPL-3.0 u obtener licenciamiento alternativo

Audit de sécurité

Sûr
v1 • 2/24/2026

All static findings are false positives. The detected patterns exist in markdown documentation files containing code examples, not executable code. The implementation-playbook.md (767 lines) and SKILL.md (47 lines) are instructional documents showing users how to implement security scanning tools. No actual shell execution, network calls, or filesystem operations occur in the skill itself.

2
Fichiers analysés
814
Lignes analysées
0
résultats
1
Total des audits
Aucun problème de sécurité trouvé
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
100
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Auditoría de seguridad pre-lanzamiento

Antes de lanzar código a producción, escanear todas las dependencias para identificar y corregir vulnerabilidades críticas. Generar informes de cumplimiento para revisiones de seguridad.

Verificación de cumplimiento de licencias

Revisar todas las licencias de dependencias para asegurar compatibilidad con la licencia de tu proyecto. Identificar licencias GPL o propietarias que puedan crear riesgos legales.

Flujo de trabajo de mantenimiento de dependencias

Configurar escaneo automatizado para identificar paquetes desactualizados. Recibir listas priorizadas de actualizaciones basadas en correcciones de seguridad y antigüedad.

Essayez ces prompts

Escaneo básico de vulnerabilidades 
Escanea las dependencias de mi proyecto en busca de vulnerabilidades conocidas. Identifica el nombre del paquete, versión actual, severidad de la vulnerabilidad y versión de corrección recomendada.
Informe de cumplimiento de licencias 
Analiza todas las licencias de dependencias en este proyecto. Mi proyecto usa licencia MIT. Identifica cualquier licencia incompatible y explica los riesgos legales para cada una.
Plan de actualización priorizado 
Revisa mis dependencias y crea un plan de actualización priorizado. Clasifica por riesgo de seguridad primero, luego por lo desactualizado que está cada paquete. Incluye esfuerzo estimado para cada actualización.
Auditoría de seguridad de la cadena de suministro 
Realiza una auditoría exhaustiva de seguridad de la cadena de suministro. Verifica riesgos de typosquatting, cambios inusuales de mantenedores y paquetes con patrones de comportamiento sospechoso. Marca cualquier paquete que necesite revisión manual.

Bonnes pratiques

  • Ejecutar escaneos de vulnerabilidades en CI/CD antes de fusionar pull requests
  • Mantener una lista curada de licencias aprobadas para tu organización
  • Fijar versiones exactas de dependencias y actualizar mediante PRs automatizados

Éviter

  • Ignorar vulnerabilidades críticas porque las pruebas pasan localmente
  • Usar rangos de versión como '*' que permiten actualizaciones inesperadas
  • Añadir dependencias sin revisar sus términos de licencia

Foire aux questions

¿Cómo detecta esta skill las vulnerabilidades?
La skill verifica tus dependencias contra bases de datos públicas de vulnerabilidades incluyendo npm advisory, PyPI security y OSS Index. Coincide nombres de paquetes y versiones con CVEs conocidos.
¿Puede esta skill corregir automáticamente las vulnerabilidades?
La skill genera scripts de remediación y comandos de actualización, pero requiere tu confirmación antes de realizar cambios. Puede crear plantillas de pull request para revisión.
¿Qué gestores de paquetes son compatibles?
Soporta npm/yarn (JavaScript), pip/poetry (Python), gem (Ruby), maven/gradle (Java), go mod, cargo (Rust), composer (PHP), y nuget (.NET).
¿Con qué frecuencia debo ejecutar auditorías de dependencias?
Ejecuta escaneos en cada pull request para proyectos críticos. Para mantenimiento, escaneos semanales o mensuales detectan nuevas vulnerabilidades. Configura alertas para CVEs críticos que afecten tus dependencias.
¿Qué debo hacer sobre dependencias GPL en mi proyecto MIT?
Las licencias GPL son incompatibles con distribución MIT. Las opciones incluyen: reemplazar con alternativas MIT/Apache, aislar código GPL en procesos separados, o cambiar la licencia de tu proyecto a GPL.
¿Cómo verifico un nombre de paquete sospechoso?
Verifica el repositorio del paquete, revisa conteos de descargas, verifica la identidad del mantenedor y compara con paquetes legítimos conocidos. Los typosquats suelen tener pocas descargas y fechas de creación recientes.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/dependency-management-deps-audit

Réf

main

Structure de fichiers

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md