Compétences dependency-management-deps-audit
📦

dependency-management-deps-audit

Sûr

Auditer les dépendances pour les vulnérabilités et les problèmes de licence

La gestion des dépendances de manière sécurisée représente un défi avec les nouvelles vulnérabilités constantes et les exigences complexes en matière de licences. Cette skill automatise l'analyse des vulnérabilités, les vérifications de conformité des licences et fournit des stratégies de correction prioritaires.

Prend en charge: Claude Codex Code(CC)
🥉 74 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "dependency-management-deps-audit". Analyser les dépendances dans package.json pour les vulnérabilités

Résultat attendu:

Résultats de l'analyse de sécurité :

CRITIQUE (2) :
- lodash@4.17.15 : Vulnérabilité de pollution de prototype (CVE-2021-23337). Mettre à jour vers 4.17.21
- axios@0.21.0 : Vulnérabilité SSRF (CVE-2021-3749). Mettre à jour vers 0.21.2

ÉLEVÉ (1) :
- node-fetch@2.6.0 : Exposition d'informations (CVE-2022-0155). Mettre à jour vers 2.6.7

Total des vulnérabilités : 3 sur 245 dépendances
Action recommandée : Mettre à jour les paquets critiques sous 24 heures

Utilisation de "dependency-management-deps-audit". Vérifier la compatibilité des licences pour un projet MIT

Résultat attendu:

Rapport de conformité des licences :

Compatible (242 paquets) :
- MIT : 180 paquets
- Apache-2.0 : 45 paquets
- BSD-3-Clause : 15 paquets
- ISC : 2 paquets

Revue requise (3 paquets) :
- mystery-lib : Licence inconnue - aucun fichier de licence trouvé
- legacy-utils : GPL-3.0 - incompatible avec les projets MIT
- old-module : Aucune licence spécifiée

Action : Remplacer les paquets GPL-3.0 ou obtenir une licence alternative

Audit de sécurité

Sûr
v1 • 2/24/2026

All static findings are false positives. The detected patterns exist in markdown documentation files containing code examples, not executable code. The implementation-playbook.md (767 lines) and SKILL.md (47 lines) are instructional documents showing users how to implement security scanning tools. No actual shell execution, network calls, or filesystem operations occur in the skill itself.

2
Fichiers analysés
814
Lignes analysées
0
résultats
1
Total des audits
Aucun problème de sécurité trouvé
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
100
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Audit de sécurité avant publication

Avant de publier du code en production, analysez toutes les dépendances pour identifier et corriger les vulnérabilités critiques. Générez des rapports de conformité pour les revues de sécurité.

Vérification de conformité des licences

Examinez toutes les licences de dépendances pour garantir la compatibilité avec la licence de votre projet. Identifiez les licences GPL ou propriétaires qui pourraient créer des risques juridiques.

Workflow de maintenance des dépendances

Configurez une analyse automatisée pour identifier les paquets obsolètes. Recevez des listes priorisées de mises à jour basées sur les corrections de sécurité et l'ancienneté.

Essayez ces prompts

Analyse de vulnérabilités de base 
Analysez les dépendances de mon projet pour les vulnérabilités connues. Identifiez le nom du paquet, la version actuelle, la gravité de la vulnérabilité et la version de correction recommandée.
Rapport de conformité des licences 
Analysez toutes les licences de dépendances dans ce projet. Mon projet utilise la licence MIT. Identifiez toutes les licences incompatibles et expliquez les risques juridiques pour chacune.
Plan de mise à jour priorisé 
Examinez mes dépendances et créez un plan de mise à jour priorisé. Classez par risque de sécurité d'abord, puis par l'ancienneté de chaque paquet. Incluez l'effort estimé pour chaque mise à jour.
Audit de sécurité de la chaîne d'approvisionnement 
Effectuez un audit complet de sécurité de la chaîne d'approvisionnement. Vérifiez les risques de typosquatting, les changements inhabituels de mainteneurs et les paquets avec des modèles de comportement suspects. Signalez les paquets nécessitant une revue manuelle.

Bonnes pratiques

  • Exécuter les analyses de vulnérabilités dans le CI/CD avant de fusionner les pull requests
  • Maintenir une liste organisée des licences approuvées pour votre organisation
  • Épingler les versions exactes des dépendances et mettre à jour via des PR automatisées

Éviter

  • Ignorer les vulnérabilités critiques parce que les tests passent localement
  • Utiliser des plages de versions comme '*' qui permettent des mises à jour inattendues
  • Ajouter des dépendances sans examiner leurs conditions de licence

Foire aux questions

Comment cette skill détecte-t-elle les vulnérabilités ?
Cette skill vérifie vos dépendances par rapport aux bases de données de vulnérabilités publiques, notamment npm advisory, PyPI security et OSS Index. Elle fait correspondre les noms et versions des paquets aux CVE connus.
Cette skill peut-elle corriger automatiquement les vulnérabilités ?
Cette skill génère des scripts de correction et des commandes de mise à jour, mais nécessite votre confirmation avant d'apporter des modifications. Elle peut créer des modèles de pull request pour revue.
Quels gestionnaires de paquets sont pris en charge ?
Prend en charge npm/yarn (JavaScript), pip/poetry (Python), gem (Ruby), maven/gradle (Java), go mod, cargo (Rust), composer (PHP) et nuget (.NET).
À quelle fréquence dois-je exécuter les audits de dépendances ?
Exécutez des analyses sur chaque pull request pour les projets critiques. Pour la maintenance, des analyses hebdomadaires ou mensuelles permettent de détecter les nouvelles vulnérabilités. Configurez des alertes pour les CVE critiques affectant vos dépendances.
Que dois-je faire des dépendances GPL dans mon projet MIT ?
Les licences GPL sont incompatibles avec la distribution MIT. Les options incluent : remplacer par des alternatives MIT/Apache, isoler le code GPL dans des processus séparés, ou changer la licence de votre projet pour GPL.
Comment vérifier un nom de paquet suspect ?
Vérifiez le dépôt du paquet, examinez les nombres de téléchargements, vérifiez l'identité du mainteneur et comparez avec les paquets légitimes connus. Les typosquats ont souvent peu de téléchargements et des dates de création récentes.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/dependency-management-deps-audit

Réf

main

Structure de fichiers

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md