Compétences codebase-cleanup-deps-audit
📦

codebase-cleanup-deps-audit

Risque faible ⚙️ Commandes externes🌐 Accès réseau📁 Accès au système de fichiers

Auditer les dépendances pour les vulnérabilités de sécurité

Gardez vos projets en sécurité en identifiant les dépendances vulnérables, obsolètes ou incompatibles au niveau des licences. Cette compétence analyse votre arbre de dépendances, vérifie les bases de données de vulnérabilités et fournit des étapes de remédiation priorisées.

Prend en charge: Claude Codex Code(CC)
📊 71 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "codebase-cleanup-deps-audit". Scanner les vulnérabilités dans un projet Node.js avec 45 dépendances

Résultat attendu:

  • Résumé de l'audit de sécurité
  • Total des dépendances : 45
  • Vulnérabilités trouvées : 3 (1 critique, 2 hautes)
  • Critique : lodash <4.17.21 - Pollution de prototype (CVE-2021-23337) - Mettre à jour vers 4.17.21
  • Haute : minimist <1.2.6 - Pollution de prototype (CVE-2021-44906) - Mettre à jour vers 1.2.6
  • Haute : node-fetch <2.6.7 - Divulgation d'informations (CVE-2022-0235) - Mettre à jour vers 2.6.7
  • Action recommandée : Exécuter npm audit fix --force pour appliquer les correctifs

Utilisation de "codebase-cleanup-deps-audit". Vérifier la conformité des licences pour un projet commercial

Résultat attendu:

  • Rapport de conformité des licences
  • Licence du projet : Propriétaire
  • Total des dépendances : 128
  • Problèmes trouvés : 2
  • GPL-3.0 : package-name - Licence copyleft incompatible avec l'utilisation propriétaire
  • Inconnue : legacy-lib - Licence non spécifiée, revue juridique requise
  • Recommandation : Remplacer la dépendance GPL par une alternative MIT ou obtenir une licence commerciale

Audit de sécurité

Risque faible
v1 • 2/25/2026

Static analysis detected 50 patterns in 2 files (821 lines), but all findings are false positives from markdown documentation containing code examples. The skill is a legitimate dependency audit tool with no malicious intent. Minor risk indicators exist due to documented use of external commands and network APIs for dependency scanning.

2
Fichiers analysés
821
Lignes analysées
6
résultats
1
Total des audits
Problèmes à risque moyen (1)
resources/implementation-playbook.md:12-748
Static Analysis False Positives - External Commands
Static scanner detected 33 'backtick execution' and shell command patterns. These are all false positives - the patterns exist in markdown code blocks (```python, ```bash, ```yaml) within documentation files, not in executable code. The skill references external commands like npm audit, pip, and git for legitimate dependency scanning operations.
Problèmes à risque faible (2)
resources/implementation-playbook.md:144-147resources/implementation-playbook.md:184-185resources/implementation-playbook.md:467-468
Network API References in Documentation
Static scanner detected fetch calls and HTTP client usage. These are documentation examples showing how to call vulnerability databases (npm audit API, PyPI, OSS Index) for legitimate security scanning purposes.
resources/implementation-playbook.md:234
Filesystem Operations in Examples
Hard link creation pattern detected in Python code example for dependency tree analysis. This is documentation showing file operations for scanning project directories.

Facteurs de risque

⚙️ Commandes externes (3)
resources/implementation-playbook.md:584-631 SKILL.md:37 SKILL.md:53
🌐 Accès réseau (3)
resources/implementation-playbook.md:144-147 resources/implementation-playbook.md:184-185 resources/implementation-playbook.md:467-468
📁 Accès au système de fichiers (1)
resources/implementation-playbook.md:234
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
81
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Audit de sécurité avant version

Exécutez un audit complet des dépendances avant de publier une nouvelle version pour identifier et corriger les vulnérabilités qui pourraient affecter les utilisateurs.

Révision de conformité des licences

Vérifiez que toutes les dépendances ont des licences compatibles avant de les intégrer dans un produit commercial pour éviter les risques juridiques.

Évaluation de la dette technique

Identifiez les dépendances obsolètes et priorisez les mises à jour en fonction de l'ancienneté, des changements majeurs et de l'impact sur la sécurité.

Essayez ces prompts

Analyse rapide des vulnérabilités 
Scannez mon projet pour les vulnérabilités de dépendances. Vérifiez package.json et signalez tout problème critique ou de haute sévérité avec les corrections recommandées.
Audit complet des dépendances 
Effectuez un audit complet des dépendances incluant l'analyse de vulnérabilités, la vérification de conformité des licences et l'analyse des packages obsolètes. Priorisez les résultats par sévérité et fournissez des étapes de remédiation actionnables.
Vérification de compatibilité des licences 
Analysez toutes les dépendances pour la compatibilité des licences avec notre projet sous licence MIT. Signalez toute licence GPL, AGPL ou propriétaire et suggérez des alternatives.
Plan de mise à jour automatisé 
Créez un plan de mise à jour des dépendances priorisé. Groupez les mises à jour par niveau de risque (correctifs de sécurité en premier, puis versions majeures), estimez l'effort pour chacune et générez les commandes de mise à jour.

Bonnes pratiques

  • Exécuter les audits de dépendances sur un calendrier régulier (hebdomadaire ou avant chaque version)
  • Épingler les versions des dépendances dans les lock files pour assurer des builds reproductibles
  • Revoir et tester les mises à jour de sécurité en staging avant de déployer en production

Éviter

  • Ignorer les vulnérabilités critiques parce que les tests passent localement
  • Mettre à jour toutes les dépendances d'un coup sans tester chaque changement
  • Utiliser des dépendances avec des licences inconnues ou incompatibles dans des produits commerciaux

Foire aux questions

Quels gestionnaires de packages cette compétence prend-elle en charge ?
Cette compétence prend en charge npm/Yarn (JavaScript), pip/Poetry (Python), gem (Ruby), maven/gradle (Java), go modules, cargo (Rust), composer (PHP) et NuGet (.NET).
Comment la compétence vérifie-t-elle les vulnérabilités ?
Elle interroge les bases de données de vulnérabilités publiques incluant l'API npm audit, la base de données PyPI safety, les avis de sécurité GitHub et Sonatype OSS Index pour comparer vos dépendances aux CVE connues.
Cette compétence peut-elle corriger automatiquement les vulnérabilités ?
La compétence génère des commandes de remédiation et des modèles de pull requests, mais nécessite une confirmation de l'utilisateur avant d'apporter tout changement à votre projet.
Que dois-je faire si une dépendance n'a pas de licence ?
Considérez les dépendances sans licence comme à haut risque. Contactez le mainteneur pour clarifier la licence, ou remplacez par une alternative correctement licenciée pour éviter l'exposition juridique.
À quelle fréquence dois-je exécuter les audits de dépendances ?
Exécutez des audits hebdomadaires via CI/CD, avant chaque version, et immédiatement lorsque de nouvelles vulnérabilités sont divulguées dans votre arbre de dépendances.
Cette compétence vérifie-t-elle les dépendances transitives ?
Oui, la compétence analyse à la fois les dépendances directes et les dépendances transitives (dépendances des dépendances) pour fournir une couverture complète.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/codebase-cleanup-deps-audit

Réf

main

Structure de fichiers

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md