Compétences codebase-cleanup-deps-audit
📦

codebase-cleanup-deps-audit

Risque faible ⚙️ Commandes externes🌐 Accès réseau📁 Accès au système de fichiers

보안 취약점을 위한 의존성 감사

취약하거나 오래되었거나 라이선스 호환성이 없는 의존성을 식별하여 프로젝트를 안전하게 유지하세요. 이 스킬은 의존성 트리를 스캔하고 취약점 데이터베이스를 확인하며 우선순위가 지정된 수정 단계를 제공합니다.

Prend en charge: Claude Codex Code(CC)
📊 71 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "codebase-cleanup-deps-audit". 45 개의 의존성이 있는 Node.js 프로젝트의 취약점 스캔

Résultat attendu:

  • 보안 감사 요약
  • 총 의존성 수: 45
  • 발견된 취약점: 3 개 (1 개 중요, 2 개 높음)
  • 중요: lodash <4.17.21 - 프로토타입 오염 (CVE-2021-23337) - 4.17.21 로 업그레이드
  • 높음: minimist <1.2.6 - 프로토타입 오염 (CVE-2021-44906) - 1.2.6 으로 업그레이드
  • 높음: node-fetch <2.6.7 - 정보 유출 (CVE-2022-0235) - 2.6.7 로 업그레이드
  • 권장 조치: npm audit fix --force 를 실행하여 패치 적용

Utilisation de "codebase-cleanup-deps-audit". 상용 프로젝트의 라이선스 준수 확인

Résultat attendu:

  • 라이선스 준수 보고서
  • 프로젝트 라이선스: 독점
  • 총 의존성 수: 128
  • 발견된 문제: 2 개
  • GPL-3.0: package-name - 독점 사용과 호환되지 않는 카피레프트 라이선스
  • 알 수 없음: legacy-lib - 라이선스 지정 안 됨, 법적 검토 필요
  • 권장 사항: GPL 의존성을 MIT 대안으로 교체하거나 상용 라이선스 획득

Audit de sécurité

Risque faible
v1 • 2/25/2026

Static analysis detected 50 patterns in 2 files (821 lines), but all findings are false positives from markdown documentation containing code examples. The skill is a legitimate dependency audit tool with no malicious intent. Minor risk indicators exist due to documented use of external commands and network APIs for dependency scanning.

2
Fichiers analysés
821
Lignes analysées
6
résultats
1
Total des audits
Problèmes à risque moyen (1)
resources/implementation-playbook.md:12-748
Static Analysis False Positives - External Commands
Static scanner detected 33 'backtick execution' and shell command patterns. These are all false positives - the patterns exist in markdown code blocks (```python, ```bash, ```yaml) within documentation files, not in executable code. The skill references external commands like npm audit, pip, and git for legitimate dependency scanning operations.
Problèmes à risque faible (2)
resources/implementation-playbook.md:144-147resources/implementation-playbook.md:184-185resources/implementation-playbook.md:467-468
Network API References in Documentation
Static scanner detected fetch calls and HTTP client usage. These are documentation examples showing how to call vulnerability databases (npm audit API, PyPI, OSS Index) for legitimate security scanning purposes.
resources/implementation-playbook.md:234
Filesystem Operations in Examples
Hard link creation pattern detected in Python code example for dependency tree analysis. This is documentation showing file operations for scanning project directories.

Facteurs de risque

⚙️ Commandes externes (3)
resources/implementation-playbook.md:584-631 SKILL.md:37 SKILL.md:53
🌐 Accès réseau (3)
resources/implementation-playbook.md:144-147 resources/implementation-playbook.md:184-185 resources/implementation-playbook.md:467-468
📁 Accès au système de fichiers (1)
resources/implementation-playbook.md:234
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
81
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

릴리스 전 보안 감사

새 버전을 릴리스하기 전에 포괄적인 의존성 감사를 실행하여 사용자에게 영향을 미칠 수 있는 취약점을 식별하고 수정하세요.

라이선스 준수 검토

법적 위험을 피하기 위해 상용 제품에 통합하기 전에 모든 의존성에 호환 가능한 라이선스가 있는지 확인하세요.

기술 부채 평가

오래된 의존성을 식별하고 기간, 변경 내용 파괴성, 보안 영향을 기반으로 업데이트의 우선순위를 지정하세요.

Essayez ces prompts

빠른 취약점 스캔 
프로젝트의 의존성 취약점을 스캔하세요. package.json 을 확인하고 권장 수정 사항과 함께 중요 또는 높음 심각도 문제를 보고하세요.
전체 의존성 감사 
취약점 스캔, 라이선스 준수 확인, 오래된 패키지 분석을 포함한 완전한 의존성 감사를 수행하세요. 심각도별로 결과를 우선순위화하고 실행 가능한 수정 단계를 제공하세요.
라이선스 호환성 확인 
MIT 라이선스 프로젝트와의 라이선스 호환성을 위해 모든 의존성을 분석하세요. GPL, AGPL 또는 독점 라이선스를 플래그로 표시하고 대안을 제안하세요.
자동화된 업데이트 계획 
우선순위가 지정된 의존성 업데이트 계획을 작성하세요. 위험 수준별로 업데이트를 그룹화하고 (보안 패치 먼저, 그 다음 주요 버전), 각 항목의 노력을 추정하고 업데이트 명령을 생성하세요.

Bonnes pratiques

  • 정기적인 일정 (주간 또는 각 릴리스 전) 에 의존성 감사 실행
  • 재현 가능한 빌드를 위해 잠금 파일에 의존성 버전 고정
  • 프로덕션에 배포하기 전에 스테이징에서 보안 업데이트 검토 및 테스트

Éviter

  • 테스트가 로컬에서 통과한다는 이유로 중요 취약점 무시
  • 각 변경 사항을 테스트하지 않고 한 번에 모든 의존성 업데이트
  • 상용 제품에서 알 수 없거나 호환되지 않는 라이선스를 가진 의존성 사용

Foire aux questions

이 스킬은 어떤 패키지 관리자를 지원하나요?
이 스킬은 npm/Yarn(JavaScript), pip/Poetry(Python), gem(Ruby), maven/gradle(Java), go modules, cargo(Rust), composer(PHP), NuGet(.NET) 을 지원합니다.
이 스킬은 어떻게 취약점을 확인하나요?
npm audit API, PyPI safety 데이터베이스, GitHub Security Advisories, Sonatype OSS Index 를 포함한 공개 취약점 데이터베이스를 쿼리하여 의존성을 알려진 CVE 와 일치시킵니다.
이 스킬이 취약점을 자동으로 수정할 수 있나요?
이 스킬은 수정 명령과 풀 리퀘스트 템플릿을 생성하지만, 프로젝트에 변경 사항을 적용하기 전에 사용자 확인이 필요합니다.
의존성에 라이선스가 없으면 어떻게 해야 하나요?
라이선스가 없는 의존성은 고위험으로 간주하세요. 라이선스를 명확히 하기 위해 유지관리자에게 문의하거나 법적 노출을 피하기 위해 적절히 라이선스가 지정된 대안으로 교체하세요.
얼마나 자주 의존성 감사를 실행해야 하나요?
CI/CD 를 통해 주간으로, 각 릴리스 전에, 그리고 의존성 트리에 새로운 취약점이 공개되었을 때 즉시 감사를 실행하세요.
이 스킬이 간접 의존성을 확인하나요?
네, 이 스킬은 직접 의존성과 간접 의존성 (의존성의 의존성) 을 모두 분석하여 완전한 커버리지를 제공합니다.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/codebase-cleanup-deps-audit

Réf

main

Structure de fichiers

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md