Compétences codebase-cleanup-deps-audit
📦

codebase-cleanup-deps-audit

Risque faible ⚙️ Commandes externes🌐 Accès réseau📁 Accès au système de fichiers

セキュリティ脆弱性の依存関係監査

脆弱性があるか古い、またはライセンス互換性のない依存関係を特定することで、プロジェクトを安全に保ちます。このスキルは依存関係ツリーをスキャンし、脆弱性データベースを確認し、優先順位付きの修復手順を提供します。

Prend en charge: Claude Codex Code(CC)
📊 71 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "codebase-cleanup-deps-audit". 45の依存関係を持つNode.jsプロジェクトの脆弱性をスキャン

Résultat attendu:

  • セキュリティ監査サマリー
  • 合計依存関係:45
  • 脆弱性発見:3件(重大1件、高2件)
  • 重大:lodash <4.17.21 - プロトタイプ汚染(CVE-2021-23337)- 4.17.21にアップグレード
  • 高:minimist <1.2.6 - プロトタイプ汚染(CVE-2021-44906)- 1.2.6にアップグレード
  • 高:node-fetch <2.6.7 - 情報漏洩(CVE-2022-0235)- 2.6.7にアップグレード
  • 推奨アクション:npm audit fix --force を実行してパッチを適用

Utilisation de "codebase-cleanup-deps-audit". 商用プロジェクトのライセンスコンプライアンスを確認

Résultat attendu:

  • ライセンスコンプライアンスレポート
  • プロジェクトライセンス:プロプライエタリ
  • 合計依存関係:128
  • 問題発見:2件
  • GPL-3.0:package-name - プロプライエタリ使用との互換性がないコピーレフトライセンス
  • Unknown:legacy-lib - ライセンス未指定、法務レビューが必要
  • 推奨事項:GPL依存関係をMIT代替案で置き換えるか、商用ライセンスを取得

Audit de sécurité

Risque faible
v1 • 2/25/2026

Static analysis detected 50 patterns in 2 files (821 lines), but all findings are false positives from markdown documentation containing code examples. The skill is a legitimate dependency audit tool with no malicious intent. Minor risk indicators exist due to documented use of external commands and network APIs for dependency scanning.

2
Fichiers analysés
821
Lignes analysées
6
résultats
1
Total des audits
Problèmes à risque moyen (1)
resources/implementation-playbook.md:12-748
Static Analysis False Positives - External Commands
Static scanner detected 33 'backtick execution' and shell command patterns. These are all false positives - the patterns exist in markdown code blocks (```python, ```bash, ```yaml) within documentation files, not in executable code. The skill references external commands like npm audit, pip, and git for legitimate dependency scanning operations.
Problèmes à risque faible (2)
resources/implementation-playbook.md:144-147resources/implementation-playbook.md:184-185resources/implementation-playbook.md:467-468
Network API References in Documentation
Static scanner detected fetch calls and HTTP client usage. These are documentation examples showing how to call vulnerability databases (npm audit API, PyPI, OSS Index) for legitimate security scanning purposes.
resources/implementation-playbook.md:234
Filesystem Operations in Examples
Hard link creation pattern detected in Python code example for dependency tree analysis. This is documentation showing file operations for scanning project directories.

Facteurs de risque

⚙️ Commandes externes (3)
resources/implementation-playbook.md:584-631 SKILL.md:37 SKILL.md:53
🌐 Accès réseau (3)
resources/implementation-playbook.md:144-147 resources/implementation-playbook.md:184-185 resources/implementation-playbook.md:467-468
📁 Accès au système de fichiers (1)
resources/implementation-playbook.md:234
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
81
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

リリース前セキュリティ監査

新しいバージョンをリリースする前に包括的な依存関係監査を実行し、ユーザーに影響を与える可能性のある脆弱性を特定して修正します。

ライセンスコンプライアンスレビュー

商用製品に統合する前に、すべての依存間に互換性のあるライセンスがあることを確認し、法務リスクを回避します。

技術的負債の評価

古い依存関係を特定し、古さ、breaking change、セキュリティへの影響を基に更新の優先順位をつけます。

Essayez ces prompts

クイック脆弱性スキャン 
プロジェクトの依存関係の脆弱性をスキャンしてください。package.jsonをチェックし、推奨される修正案とともに重大または高重大度の問題を報告してください。
完全な依存関係監査 
脆弱性スキャン、ライセンスコンプライアンスチェック、古いパッケージ分析を含む完全な依存関係監査を実行してください。重大度別に発見事項を優先順位付けし、実行可能な修復手順を提供してください。
ライセンス互換性チェック 
MITライセンスのプロジェクトとの互換性についてすべての依存関係を分析してください。GPL、AGPL、またはプロプライエタリのライセンスをフラグし、代替案を提案してください。
自動更新計画 
優先順位付きの依存関係更新計画を作成してください。リスクレベル(セキュリティパッチ優先、その後メジャーバージョン)ごとに更新をグループ化し、各々の作業を見積もり、更新コマンドを生成してください。

Bonnes pratiques

  • 定期的に(毎週または各リリース前に)依存関係監査を実行する
  • ロックファイルで依存関係のバージョンをピン留めして再現可能なビルドを確保する
  • 本番にデプロイする前にステージングでセキュリティ更新をレビューしてテストする

Éviter

  • ローカルのテストが通るから重大脆弱性を無視する
  • テストせずにすべての依存関係を一度に更新する
  • 商用製品でライセンス不明または互換性のない依存関係を使用する

Foire aux questions

このスキルはどのようなパッケージマネージャーをサポートしていますか?
このスキルはnpm/Yarn(JavaScript)、pip/Poetry(Python)、gem(Ruby)、maven/gradle(Java)、goモジュール、cargo(Rust)、composer(PHP)、NuGet(.NET)をサポートしています。
このスキルはどのように脆弱性をチェックしますか?
npm audit API、PyPI safetyデータベース、GitHub Security Advisories、Sonatype OSS Indexを含む公開脆弱性データベースにクエリを実行し、既知のCVEに対して依存関係を照合します。
このスキルは脆弱性を自動的に修正できますか?
このスキルは修復コマンドとプルリクエストテンプレートを生成しますが、プロジェクトへの変更を加える前にユーザーの確認を必要とします。
依存関係にライセンスがない場合はどうすべきですか?
ライセンスなしの依存関係は高リスクとして扱う必要があります。法務リスクを避けるために、メンテナーにライセンスについて連絡するか、適切にライセンスされた代替案に置き換えてください。
どのくらいの頻度で依存関係監査を実行すべきですか?
CI/CD経由で毎週、各リリース前、および依存関係ツリーで新しい脆弱性が開示された場合にすぐ監査を実行してください。
このスキルは推移的依存関係をチェックしますか?
はい、このスキルは直接依存関係と推移的依存関係(依存関係の依存関係)の両方を分析して、完全なカバレッジを提供します。

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/codebase-cleanup-deps-audit

Réf

main

Structure de fichiers

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md