dependency-management-deps-audit
脆弱性とライセンス問題を監査する
постоянные новые уязвимости и сложные требования к лицензированию делают безопасное управление зависимостями сложной задачей. Этот инструмент автоматизирует сканирование уязвимостей, проверку соответствия лицензий и предоставляет приоритизированные стратегии исправления.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "dependency-management-deps-audit". package.jsonの依存関係を脆弱性についてスキャンする
Résultat attendu:
Security Scan Results:
CRITICAL (2):
- lodash@4.17.15: Prototype pollution vulnerability (CVE-2021-23337). Update to 4.17.21
- axios@0.21.0: SSRF vulnerability (CVE-2021-3749). Update to 0.21.2
HIGH (1):
- node-fetch@2.6.0: Information exposure (CVE-2022-0155). Update to 2.6.7
Total vulnerabilities: 3 across 245 dependencies
Recommended action: Update critical packages within 24 hours
Utilisation de "dependency-management-deps-audit". MITプロジェクトのライセンス互換性を確認する
Résultat attendu:
License Compliance Report:
Compatible (242 packages):
- MIT: 180 packages
- Apache-2.0: 45 packages
- BSD-3-Clause: 15 packages
- ISC: 2 packages
Review Required (3 packages):
- mystery-lib: Unknown license - no license file found
- legacy-utils: GPL-3.0 - incompatible with MIT projects
- old-module: No license specified
Action: Replace GPL-3.0 packages or obtain alternative licensing
Audit de sécurité
SûrAll static findings are false positives. The detected patterns exist in markdown documentation files containing code examples, not executable code. The implementation-playbook.md (767 lines) and SKILL.md (47 lines) are instructional documents showing users how to implement security scanning tools. No actual shell execution, network calls, or filesystem operations occur in the skill itself.
Score de qualité
Ce que vous pouvez construire
リリース前のセキュリティ監査
本番コードをリリースする前に、すべての依存関係をスキャンして重大な脆弱性を特定し修正します。セキュリティレビューのためのコンプライアンスレポートを生成します。
ライセンスコンプライアンス検証
すべての依存関係のライセンスをレビューし、プロジェクトのライセンスとの互換性を確認します。法的リスクを発生させる可能性のあるGPLやプロプライエタリライセンスを特定します。
依存関係メンテナンスワークフロー
古いパッケージを特定するための自動スキャンを設定します。セキュリティ修正と経過日数に基づいて優先度付き更新リストを受け取ります。
Essayez ces prompts
プロジェクトの依存関係を既知の脆弱性についてスキャンしてください。パッケージ名、現在バージョン、脆弱性の深刻度、および推奨される修正バージョンを特定してください。
このプロジェクトのすべての依存関係のライセンスを分析してください。プロジェクトはMITライセンスを使用しています。互換性のないライセンスを特定し、それぞれ法的リスクを説明してください。
依存関係をレビューし、優先順位付き更新プランを作成してください。最初にセキュリティリスク、次に各パッケージの古さによってランク付けしてください。各更新の推定作業量を含めてください。
包括的なサプライチェーンセキュリティ監査を実行してください。タイポスキャティングのリスク、不自然なメンテナー変更、および疑わしい動作パターンを持つパッケージをチェックしてください。手動レビューが必要なパッケージをフラグしてください。
Bonnes pratiques
- プルリクエストをマージする前にCI/CDで脆弱性スキャンを実行する
- 組織向けに承認済みライセンスのキュレーションリストを維持する
- 正確な依存関係バージョンをピン留めし、自动化されたPRを通じて更新する
Éviter
- テストがローカルで合格しているために重大な脆弱性を無視する
- '*'のようなバージョン範囲を使用して予期しない更新を許可する
- ライセンス条項をレビューせずに依存関係を追加する