スキル dependency-auditor
🔒

dependency-auditor

安全 🌐 ネットワークアクセス⚙️ 外部コマンド

プロジェクトの依存関係の脆弱性を監査する

古くて脆弱な依存関係は、アプリケーションに深刻なセキュリティリスクをもたらします。このスキルは、Node.js、Python、Go、Ruby、Java、.NETのエコシステム全体で、依存関係のセキュリティ問題を特定、評価、修正するための支援を行います。

対応: Claude Codex Code(CC)
📊 69 十分
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「dependency-auditor」を使用しています。 package.jsonを使用してNode.jsプロジェクトでdependency-auditorを実行してください

期待される結果:

  • 🔴 Critical: 2件の脆弱性が発見されました
  • • lodash < 4.17.21 - プロトタイプ汚染によるリモートコード実行(CVE-2024-1234)
  • • sequelize 6.3.5 - 生SQL関数におけるSQLインジェクション(CVE-2024-5678)
  • 🟠 High: 3件の脆弱性が発見されました
  • • minimist < 1.2.6 - プロトタイプ汚染(mocha経由の推移的依存関係)
  • • marked < 4.0.16 - クロスサイトスクリプティングの脆弱性
  • • express-fileupload < 1.4.0 - パストラバーサルの脆弱性
  • 推奨アクション: lodashを4.17.21に、sequelizeを6.6.5に 즉시 업데이트하세요.

「dependency-auditor」を使用しています。 CI/CDで自動化された依存関係スキャン設定を教えてください

期待される結果:

  • GitHub Actionsワークフローにこれを追加してください:
  • • プッシュごとにnpm audit --audit-level=moderateを実行する
  • • 週次の依存関係更新にDependabotを構成する
  • • npm audit --audit-level=highのpre-commitフックを追加する
  • • 継続的なモニタリングにsnyk monitorを使用する
  • これらのツールは、脆弱性が開示されるとすぐに検出します。

セキュリティ監査

安全
v5 • 1/17/2026

This is a pure prompt-based documentation skill containing only instructions and guidance for dependency security auditing. All static findings are false positives: the skill documents CVEs that exist in third-party dependencies (not the skill itself), and includes legitimate command examples (npm audit, pip-audit) as documentation. No executable code, network calls, file system access, or command execution capabilities exist in this skill. The scanner flagged documentation patterns (attack vector descriptions, remediation commands) out of context.

2
スキャンされたファイル
933
解析された行数
2
検出結果
5
総監査数

リスク要因

🌐 ネットワークアクセス (14)
skill-report.json:168 skill-report.json:6 SKILL.md:420 SKILL.md:421 SKILL.md:427 SKILL.md:430 SKILL.md:430 SKILL.md:431 SKILL.md:490 SKILL.md:549 SKILL.md:551 SKILL.md:269 SKILL.md:427 SKILL.md:431
⚙️ 外部コマンド (58)
SKILL.md:77-85 SKILL.md:85-90 SKILL.md:90-115 SKILL.md:115-118 SKILL.md:118-131 SKILL.md:131-134 SKILL.md:134-143 SKILL.md:143-146 SKILL.md:146-153 SKILL.md:153-156 SKILL.md:156-162 SKILL.md:162-165 SKILL.md:165-171 SKILL.md:171-175 SKILL.md:175-223 SKILL.md:223-227 SKILL.md:227-230 SKILL.md:230-234 SKILL.md:234-264 SKILL.md:264-266 SKILL.md:266-291 SKILL.md:291-301 SKILL.md:301-320 SKILL.md:320-322 SKILL.md:322-325 SKILL.md:325-331 SKILL.md:331-348 SKILL.md:348-350 SKILL.md:350-353 SKILL.md:353-361 SKILL.md:361-389 SKILL.md:389-398 SKILL.md:398-419 SKILL.md:419-432 SKILL.md:432-439 SKILL.md:439-442 SKILL.md:442-474 SKILL.md:474-479 SKILL.md:479-501 SKILL.md:501-510 SKILL.md:510-519 SKILL.md:519-533 SKILL.md:533-542 SKILL.md:542-553 SKILL.md:553-562 SKILL.md:562-569 SKILL.md:569-579 SKILL.md:579-593 SKILL.md:593-596 SKILL.md:596-610 SKILL.md:610-613 SKILL.md:613-617 SKILL.md:617-620 SKILL.md:620-628 SKILL.md:628-644 SKILL.md:644-651 SKILL.md:651-740 SKILL.md:615
監査者: claude 監査履歴を表示 →

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
30
コミュニティ
100
セキュリティ
74
仕様準拠

作れるもの

自動化された脆弱性トリアージ

優先順位を付けた修正計画を含む包括的な依存関係監査レポートを生成することで、セキュリティレビューを効率化します。

CI/CDセキュリティ統合

自動スキャンツールの構成に関するガイダンスとともに、デリバリーパイプラインに依存関係セキュリティチェックを追加します。

プロアクティブな依存関係管理

脆弱な依存関係を特定して、本番環境に到達する前に実行可能なアップグレードパスで修正します。

これらのプロンプトを試す

基本的な監査 
@dependency-auditorを使用して、プロジェクトを既知の脆弱性についてスキャンしてください。package.json(またはrequirements.txt/go.mod)を確認し、CVEを特定してください。
重要な修正 
@dependency-auditor --severity critical。重大な脆弱性のみを、 즉시 적용할 수 있는修正手順とともに表示してください。
ライセンスコンプライアンス 
@dependency-auditor --check-licenses。すべての依存関係を確認し、コンプライアンス問題を引き起こす可能性のあるライセンスをフラグ付けしてください。
サプライチェーン 
@dependency-auditor --supply-chain。疑わしいパッケージ、タイポスクワット攻撃を確認し、メンテナーの信頼性を検証してください。

ベストプラクティス

  • 定期的に(少なくとも週に1回)依存関係監査を実行し、新しいパッケージを追加した後にも実行する
  • 重大および高 중요度の脆弱性は24〜72時間以内に修正を優先する
  • 本番環境では正確なバージョン(^や~を使用しない)を使用し、ロックファイルをバージョン管理にコミットする

回避

  • 低重要度の脆弱性を無視する - 権限昇格のために連鎖される可能性がある
  • breaking changesを確認せずにnpm audit fixを盲目的に実行する
  • メンテナンス状況、人気、セキュリティ履歴を確認せずに依存関係を追加する

よくある質問

このスキルはどのパッケージエコシステムをサポートしていますか?
Node.js/npm、Python(pip)、Go(モジュール)、Ruby(Bundler)、Java(Maven)、.NETをサポートしています。各エコシステムには固有の監査コマンドがあります。
どの脆弱性データベースを確認しますか?
National Vulnerability Database(NVD)、GitHub Advisory Database、npm Security Advisories、Snyk Vulnerability Databaseを参照しています。
このスキルは自動的に依存関係を更新できますか?
いいえ。このスキルはガイダンスと修正のためのコマンドを提供しますが、ユーザーは手動でレビューして更新を実行する必要があります。
このスキルは私の依存関係データを外部サービスに送信しますか?
いいえ。このスキルはローカルで依存関係ファイルのみを分析し、推奨事項を提供します。データは外部に送信されません。
なぜこのスキルはシェルコマンドを参照しているのですか?
このスキルには、コマンド例(npm audit、pip-audit)が含まれており、スキャンを直接実行したいりCI/CDに統合したいユーザーの参考になります。
SnykやDependabotなどのツールとの違いは何ですか?
このスキルはAI支援による分析とガイダンスを提供します。専用のツールは自動化されたスキャン、アラート、プルリクエストを提供します。包括的なカバレッジのために両方を使用してください。

開発者の詳細

作成者

CuriousLearner

ライセンス

MIT

リポジトリ

https://github.com/CuriousLearner/devkit/tree/main/skills/dependency-auditor

参照

main

ファイル構成

📄 SKILL.md