security-scanning-security-dependencies
Escanear Dependencias en Busca de Vulnerabilidades
Escanea automáticamente las dependencias del proyecto en los ecosistemas npm, pip, Go y Rust para identificar vulnerabilidades de seguridad, generar SBOMs y crear planes de remediación.
Descargar el ZIP de la skill
Subir en Claude
Ve a Configuración → Capacidades → Skills → Subir skill
Activa y empieza a usar
Pruébalo
Usando "security-scanning-security-dependencies". Escanear dependencias en busca de vulnerabilidades
Resultado esperado:
- Se encontraron 15 vulnerabilidades en 2 ecosistemas
- Críticas: 2 | Altas: 5 | Medias: 6 | Bajas: 2
- Vulnerabilidades Críticas:
- • lodash < 4.17.21 - CVE-2021-23337 - Corregido en 4.17.21
- • moment < 2.29.4 - CVE-2022-24785 - Corregido en 2.29.4
- Ejecutar 'npm audit fix' para aplicar los parches disponibles
Usando "security-scanning-security-dependencies". Generar SBOM
Resultado esperado:
- SBOM Generado (CycloneDX 1.5)
- Componentes: 47 librerías
- Ecosistemas: npm (32), pip (15)
- Formato de exportación: JSON disponible
Auditoría de seguridad
SeguroThis is a legitimate defensive security skill for scanning project dependencies across multiple ecosystems (npm, pip, go, cargo). The static analyzer detected patterns typical of security tooling: subprocess calls to run standard vulnerability scanners (npm audit, safety, govulncheck, cargo audit), network requests to public vulnerability databases, and filesystem operations for reading project files. All detected patterns are legitimate security best practices with no malicious intent. The skill helps users identify vulnerable dependencies, generate SBOMs, and create remediation plans.
Problemas de riesgo medio (1)
Factores de riesgo
⚙️ Comandos externos (4)
🌐 Acceso a red (1)
📁 Acceso al sistema de archivos (1)
Patrones detectados
Puntuación de calidad
Lo que puedes crear
Auditoría de Seguridad Pre-lanzamiento
Escanear todas las dependencias del proyecto antes del lanzamiento para identificar y remediar vulnerabilidades críticas
Integración con Pipeline CI/CD
Integrar escaneo automatizado de dependencias en flujos de trabajo de integración continua para detectar vulnerabilidades temprano
Generación de SBOM para Cumplimiento
Generar Software Bill of Materials para requisitos de cumplimiento y transparencia de la cadena de suministro
Prueba estos prompts
Escanear las dependencias en este proyecto en busca de vulnerabilidades. Verificar dependencias de npm, Python, Go y Rust si están presentes.
Generar un Software Bill of Materials (SBOM) en formato CycloneDX para este proyecto. Incluir todas las dependencias de los ecosistemas detectados.
Listar todas las vulnerabilidades de severidad crítica y alta encontradas en las dependencias. Para cada una, mostrar el nombre del paquete, versión actual, versión corregida y CVE si está disponible.
Crear un plan de remediación priorizado para todas las vulnerabilidades encontradas. Agrupar por severidad y sugerir rutas de actualización para cada paquete afectado.
Mejores prácticas
- Ejecutar escaneos de dependencias regularmente, idealmente en cada commit vía CI/CD
- Priorizar la corrección de vulnerabilidades de severidad crítica y alta primero
- Siempre probar tu aplicación después de actualizar dependencias
- Mantener un SBOM actualizado para cumplimiento y respuesta a incidentes
Evitar
- No ignorar advertencias de vulnerabilidades sin una evaluación de riesgo adecuada
- Evitar ejecutar auto-fix sin revisar los cambios primero
- No omitir el escaneo por presión de tiempo - las vulnerabilidades pueden ser explotadas
- Nunca hacer commit de lockfiles actualizados sin probar los cambios