Compétences codebase-cleanup-deps-audit
📦

codebase-cleanup-deps-audit

Risque faible ⚙️ Commandes externes🌐 Accès réseau📁 Accès au système de fichiers

Auditar Dependências em Busca de Vulnerabilidades de Segurança

Mantenha seus projetos seguros identificando dependências vulneráveis, desatualizadas ou incompatíveis com licenças. Esta habilidade varre sua árvore de dependências, verifica bancos de dados de vulnerabilidades e fornece etapas de correção priorizadas.

Prend en charge: Claude Codex Code(CC)
📊 71 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "codebase-cleanup-deps-audit". Scan for vulnerabilities in a Node.js project with 45 dependencies

Résultat attendu:

  • Resumo da Auditoria de Segurança
  • Total de Dependências: 45
  • Vulnerabilidades Encontradas: 3 (1 crítica, 2 altas)
  • Crítica: lodash <4.17.21 - Prototype Pollution (CVE-2021-23337) - Atualize para 4.17.21
  • Alta: minimist <1.2.6 - Prototype Pollution (CVE-2021-44906) - Atualize para 1.2.6
  • Alta: node-fetch <2.6.7 - Information Disclosure (CVE-2022-0235) - Atualize para 2.6.7
  • Ação Recomendada: Execute npm audit fix --force para aplicar correções

Utilisation de "codebase-cleanup-deps-audit". Check license compliance for a commercial project

Résultat attendu:

  • Relatório de Conformidade de Licenças
  • Licença do Projeto: Proprietária
  • Total de Dependências: 128
  • Problemas Encontrados: 2
  • GPL-3.0: package-name - Licença copyleft incompatível com uso proprietário
  • Desconhecida: legacy-lib - Licença não especificada, revisão jurídica necessária
  • Recomendação: Substitua a dependência GPL por alternativa MIT ou obtenha licença comercial

Audit de sécurité

Risque faible
v1 • 2/25/2026

Static analysis detected 50 patterns in 2 files (821 lines), but all findings are false positives from markdown documentation containing code examples. The skill is a legitimate dependency audit tool with no malicious intent. Minor risk indicators exist due to documented use of external commands and network APIs for dependency scanning.

2
Fichiers analysés
821
Lignes analysées
6
résultats
1
Total des audits
Problèmes à risque moyen (1)
resources/implementation-playbook.md:12-748
Static Analysis False Positives - External Commands
Static scanner detected 33 'backtick execution' and shell command patterns. These are all false positives - the patterns exist in markdown code blocks (```python, ```bash, ```yaml) within documentation files, not in executable code. The skill references external commands like npm audit, pip, and git for legitimate dependency scanning operations.
Problèmes à risque faible (2)
resources/implementation-playbook.md:144-147resources/implementation-playbook.md:184-185resources/implementation-playbook.md:467-468
Network API References in Documentation
Static scanner detected fetch calls and HTTP client usage. These are documentation examples showing how to call vulnerability databases (npm audit API, PyPI, OSS Index) for legitimate security scanning purposes.
resources/implementation-playbook.md:234
Filesystem Operations in Examples
Hard link creation pattern detected in Python code example for dependency tree analysis. This is documentation showing file operations for scanning project directories.

Facteurs de risque

⚙️ Commandes externes (3)
resources/implementation-playbook.md:584-631 SKILL.md:37 SKILL.md:53
🌐 Accès réseau (3)
resources/implementation-playbook.md:144-147 resources/implementation-playbook.md:184-185 resources/implementation-playbook.md:467-468
📁 Accès au système de fichiers (1)
resources/implementation-playbook.md:234
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
81
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Auditoria de Segurança Pré-Lançamento

Execute uma auditoria completa de dependências antes de lançar uma nova versão para identificar e corrigir vulnerabilidades que podem afetar os usuários.

Revisão de Conformidade de Licenças

Verifique se todas as dependências possuem licenças compatíveis antes de integrar a um produto comercial para evitar riscos legais.

Avaliação de Dívida Técnica

Identifique dependências desatualizadas e priorize atualizações com base na idade, mudanças quebradas e impacto na segurança.

Essayez ces prompts

Varredura Rápida de Vulnerabilidades 
Scan my project for dependency vulnerabilities. Check package.json and report any critical or high severity issues with recommended fixes.
Auditoria Completa de Dependências 
Perform a complete dependency audit including vulnerability scanning, license compliance check, and outdated package analysis. Prioritize findings by severity and provide actionable remediation steps.
Verificação de Compatibilidade de Licenças 
Analyze all dependencies for license compatibility with our MIT-licensed project. Flag any GPL, AGPL, or proprietary licenses and suggest alternatives.
Plano de Atualização Automatizado 
Create a prioritized dependency update plan. Group updates by risk level (security patches first, then major versions), estimate effort for each, and generate update commands.

Bonnes pratiques

  • Execute auditorias de dependências em uma agenda regular (semanalmente ou antes de cada lançamento)
  • Fixe versões de dependências em lock files para garantir builds reproduzíveis
  • Revise e teste atualizações de segurança em staging antes de implantar em produção

Éviter

  • Ignorar vulnerabilidades críticas porque os testes passam localmente
  • Atualizar todas as dependências de uma vez sem testar cada mudança
  • Usar dependências com licenças desconhecidas ou incompatíveis em produtos comerciais

Foire aux questions

Quais gerenciadores de pacotes esta habilidade suporta?
A habilidade suporta npm/Yarn (JavaScript), pip/Poetry (Python), gem (Ruby), maven/gradle (Java), go modules, cargo (Rust), composer (PHP) e NuGet (.NET).
Como a habilidade verifica vulnerabilidades?
Ela consulta bancos de dados de vulnerabilidades públicos, incluindo npm audit API, PyPI safety database, GitHub Security Advisories e Sonatype OSS Index para comparar suas dependências com CVEs conhecidas.
Esta habilidade pode corrigir vulnerabilidades automaticamente?
A habilidade gera comandos de correção e modelos de pull request, mas requer confirmação do usuário antes de fazer qualquer mudança em seu projeto.
O que devo fazer se uma dependência não tiver licença?
Trate dependências sem licença como alto risco. Entre em contato com o mantenedor para esclarecer a licenciamento ou substitua por uma alternativa devidamente licenciada para evitar exposição legal.
Com que frequência devo executar auditorias de dependências?
Execute auditorias semanalmente via CI/CD, antes de cada lançamento e imediatamente quando novas vulnerabilidades forem divulgadas em sua árvore de dependências.
Esta habilidade verifica dependências transitórias?
Sim, a habilidade analisa tanto dependências diretas quanto dependências transitórias (dependências de dependências) para fornecer cobertura completa.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/codebase-cleanup-deps-audit

Réf

main

Structure de fichiers

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md