技能 dependency-management
📦

dependency-management

安全 ⚡ 包含脚本📁 文件系统访问

프로젝트 종속성을 안전하게 관리

也可从以下获取: Joseph OBrien

프로젝트 종속성을 수동으로 관리하면 시간이 오래 걸리고 위험합니다. 오래된 종속성은 보안 취약점을 만듭니다. 이 스킬은 여러 패키지 관리자에서 종속성 분석, 취약점 스캐닝, 라이선스 준수 검사를 자동화합니다.

支持: Claude Codex Code(CC)
🥈 77 白银
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“dependency-management”。 내 종속성에서 보안 취약점을 스캔해줘

预期结果:

  • Critical: lodash@4.17.20 - CVE-2021-23337 (Prototype Pollution) - Fix: Update to 4.17.21
  • High: express@4.16.4 - CVE-2022-24999 (Path Traversal) - Fix: Update to 4.18.2
  • Medium: axios@0.21.0 - CVE-2023-45857 (SSRF) - Fix: Update to 1.6.0
  • Run 'npm update lodash express axios' to apply fixes

正在使用“dependency-management”。 내 프로젝트의 라이선스 준수를 확인해줘

预期结果:

  • MIT: 45 dependencies - Compliant
  • Apache-2.0: 12 dependencies - Compliant
  • GPL-3.0: 2 dependencies - Review required (may conflict with commercial license)
  • Unknown: 3 dependencies - Manual review needed

正在使用“dependency-management”。 오래된 패키지를 보여줘

预期结果:

  • Package: lodash - Current: 4.17.15 - Latest: 4.17.21 - Update type: Patch (Safe)
  • Package: express - Current: 4.16.4 - Latest: 4.18.2 - Update type: Minor (Review recommended)
  • Package: axios - Current: 0.21.0 - Latest: 1.6.0 - Update type: Major (Breaking changes possible)

安全审计

安全
v3 • 1/16/2026

Static findings are FALSE POSITIVES. The analyzer misidentified markdown code blocks as Ruby/shell backtick execution (documentation examples, not code). YAML frontmatter fields were flagged as weak cryptographic algorithms (false match). The actual Python helper script only reads explicitly-passed files and outputs JSON. No network calls, no data exfiltration, no credential access. Behavior matches stated purpose.

5
已扫描文件
965
分析行数
2
发现项
3
审计总数

风险因素

⚡ 包含脚本 (1)
scripts/parse-dependencies.py:1-151
📁 文件系统访问 (1)
scripts/parse-dependencies.py:137-141
审计者: claude 查看审计历史 →

质量评分

64
架构
100
可维护性
85
内容
21
社区
100
安全
100
规范符合性

你能构建什么

보안 취약점 스캔

Node.js 또는 Python 프로젝트에서 알려진 취약점을 스캔하고 수정 권장 사항을 받으세요.

라이선스 준수 확인

프로덕션에 출시하기 전에 모든 종속성이 호환되는 라이선스를 가지고 있는지 확인하세요.

종속성 상태 감사

종속성 기간, 중복, 유지보수 상태에 대한 종합 보고서를 생성하세요.

试试这些提示

취약점 스캔 
내 종속성에서 보안 취약점을 스캔하고 업데이트가 필요한 패키지를 보여주세요.
오래된 패키지 확인 
프로젝트에서 모든 오래된 종속성을 현재 버전과 최신 버전과 함께 보여주세요.
라이선스 검토 
프로젝트에서 모든 종속성의 라이선스 호환성을 확인하고 문제를 표시하세요.
감사 보고서 생성 
취약점, 오래된 패키지, 라이선스 준수 및 권장 사항을 포함한 완전한 종속성 감사를 수행하세요.

最佳实践

  • 주요 종속성 업데이트를 적용하기 전에 변경 로그를 검토하세요
  • 종속성을 업데이트한 후 프로젝트를 테스트하세요
  • 재현 가능한 종속성 버전을 위해 잠금 파일을 사용하세요

避免

  • 변경 내용을 검토하지 않고 모든 종속성을 무분별하게 업데이트하는 것
  • 중간 및 낮은 심각도의 취약점 경고를 무시하는 것
  • 종속성에 대한 라이선스 검사를 건너뛰는 것
  • 중요한 종속성에 대해 유동 버전 범위를 사용하는 것

常见问题

어떤 패키지 관리자가 지원되나요?
npm, pip, Poetry, Maven, Gradle, Cargo를 추가 참조 가이드와 함께 지원합니다.
종속성 수에 대한 제한은 무엇인가요?
하드 제한은 없습니다. 처리 시간은 프로젝트 규모에 따라 확장됩니다. 매우 큰 프로젝트는 더 오래 걸릴 수 있습니다.
기존 도구와 어떻게 통합되나요?
npm audit 및 pip-audit과 같은 네이티브 패키지 관리자 명령을 사용하여 보안 스캔을 수행합니다.
내 프로젝트 데이터가 안전한가요?
네. 이 스킬은 지정한 종속성 파일만 읽습니다. 외부 서버로 데이터가 전송되지 않습니다.
스캔이 왜 실패했나요?
일반적인 문제에는 잠금 파일 누락, 잘못된 종속성 구문, 또는 사용할 수 없는 패키지 관리자 도구가 포함됩니다.
Dependabot과 어떻게 다른가요?
이 스킬은 대화형 분석과 권장 사항을 제공합니다. Dependabot은 업데이트를 위한 풀 리퀘스트를 자동화합니다.

开发者详情

许可证

MIT

仓库

https://github.com/89jobrien/steve/tree/main/steve/skills/dependency-management

引用

main

文件结构

📁 references/

📄 dependency-audit.template.md

📄 package-managers.md

📁 scripts/

📄 parse-dependencies.py

📄 SKILL.md