dependency-audit-assistant
Auditer les dépendances pour la sécurité et les licences
Les projets accumulent des vulnérabilités dans leurs dépendances au fil du temps. Cette compétence audite les paquets pour les problèmes de sécurité, les versions obsolètes et la conformité des licences pour npm, pip, bundler et les modules go.
スキルZIPをダウンロード
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロードへ移動
オンにして利用開始
テストする
「dependency-audit-assistant」を使用しています。 Run a dependency audit on this project
期待される結果:
- Vulnerabilities: 3 High, 5 Moderate, 2 Low
- Outdated Packages: 12 (3 major updates available)
- License Issues: 2 packages with unknown licenses
- Top Priority: Update lodash@4.17.15 to fix prototype pollution (CVE-2020-8203)
- Command: npm install lodash@4.17.21
セキュリティ監査
低リスクThis is a legitimate dependency auditing skill consisting of documentation and a license-checking shell script. The script runs standard package manager commands (npm, pip, bundle, go) for license detection, which is appropriate for its stated purpose. No malicious behavior or data exfiltration detected.
リスク要因
⚙️ 外部コマンド (4)
⚡ スクリプトを含む (1)
📁 ファイルシステムへのアクセス (1)
品質スコア
作れるもの
Vérifications de sécurité avant publication
Exécutez des audits complets avant de déployer en production. Identifiez les vulnérabilités critiques nécessitant une attention immédiate.
Intégration dans les pipelines CI/CD
Auditez les dépendances pendant les processus de construction. Générez des rapports pour la conformité et la documentation de sécurité.
Revue de conformité des licences
Identifiez les dépendances GPL/AGPL susceptibles d'entrer en conflit avec la licence du projet. Trouvez des alternatives aux paquets problématiques.
これらのプロンプトを試す
Exécutez un audit des dépendances sur ce projet. Vérifiez les vulnérabilités, les paquets obsolètes et les problèmes de licences.
Trouvez toutes les vulnérabilités de sécurité dans les dépendances. Priorisez par sévérité et fournissez des recommandations de correction.
Vérifiez toutes les licences des dépendances. Signalez toute licence GPL, AGPL ou inconnue susceptible de poser des problèmes de conformité.
Générez un rapport d'audit complet des dépendances incluant : le nombre de vulnérabilités par sévérité, la liste des paquets obsolètes, le résumé des licences et les actions prioritaires avec les commandes à exécuter.
ベストプラクティス
- Exécutez des audits régulièrement, pas seulement avant les publications
- Traitez les vulnérabilités critiques et élevées immédiatement
- Testez toutes les mises à jour en environnement de préproduction avant le déploiement en production
- Documentez les décisions concernant les risques acceptés ou les versions figées
回避
- Ignorer les vulnérabilités de basse sévérité sans évaluation
- Mettre à jour des versions majeures sans consulter les notes de version
- Accepter des licences inconnues sans investigation
- Sauter les audits par manque de temps