技能 dependency-management-deps-audit
📦

dependency-management-deps-audit

安全

Auditar dependências em busca de vulnerabilidades e problemas de licenciamento

Gerenciar dependências de forma segura é desafiador com novas vulnerabilidades constantes e requisitos de licenciamento complexos. Esta habilidade automatiza a verificação de vulnerabilidades, verificações de conformidade de licenciamento e fornece estratégias de remediação priorizadas.

支持: Claude Codex Code(CC)
📊 70 充足
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“dependency-management-deps-audit”。 Scan dependencies in package.json for vulnerabilities

预期结果:

Security Scan Results:

CRITICAL (2):
- lodash@4.17.15: Prototype pollution vulnerability (CVE-2021-23337). Update to 4.17.21
- axios@0.21.0: SSRF vulnerability (CVE-2021-3749). Update to 0.21.2

HIGH (1):
- node-fetch@2.6.0: Information exposure (CVE-2022-0155). Update to 2.6.7

Total vulnerabilities: 3 across 245 dependencies
Recommended action: Update critical packages within 24 hours

正在使用“dependency-management-deps-audit”。 Check license compatibility for MIT project

预期结果:

License Compliance Report:

Compatible (242 packages):
- MIT: 180 packages
- Apache-2.0: 45 packages
- BSD-3-Clause: 15 packages
- ISC: 2 packages

Review Required (3 packages):
- mystery-lib: Unknown license - no license file found
- legacy-utils: GPL-3.0 - incompatible with MIT projects
- old-module: No license specified

Action: Replace GPL-3.0 packages or obtain alternative licensing

安全审计

安全
v1 • 2/24/2026

All static findings are false positives. The detected patterns exist in markdown documentation files containing code examples, not executable code. The implementation-playbook.md (767 lines) and SKILL.md (47 lines) are instructional documents showing users how to implement security scanning tools. No actual shell execution, network calls, or filesystem operations occur in the skill itself.

2
已扫描文件
814
分析行数
0
发现项
1
审计总数
未发现安全问题
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
22
社区
100
安全
91
规范符合性

你能构建什么

Auditoria de segurança pré-lançamento

Antes de enviar código para produção, verifique todas as dependências para identificar e corrigir vulnerabilidades críticas. Gere relatórios de conformidade para revisões de segurança.

Verificação de conformidade de licenciamento

Revise todas as licenças de dependências para garantir compatibilidade com a licença do seu projeto. Identifique licenças GPL ou proprietárias que podem criar riscos legais.

Fluxo de trabalho de manutenção de dependências

Configure verificações automatizadas para identificar pacotes desatualizados. Receba listas priorizadas de atualizações com base em correções de segurança e idade.

试试这些提示

Verificação básica de vulnerabilidades 
Verifique as dependências do meu projeto em busca de vulnerabilidades conhecidas. Identifique o nome do pacote, versão atual, gravidade da vulnerabilidade e versão de correção recomendada.
Relatório de conformidade de licenciamento 
Analise todas as licenças de dependências deste projeto. Meu projeto usa licença MIT. Identifique quaisquer licenças incompatíveis e explique os riscos legais para cada uma.
Plano de atualização priorizado 
Revise minhas dependências e crie um plano de atualização priorizado. Classifique por risco de segurança primeiro, depois por quão desatualizado cada pacote é. Inclua o esforço estimado para cada atualização.
Auditoria de segurança da cadeia de suprimentos 
Execute uma auditoria abrangente de segurança da cadeia de suprimentos. Verifique riscos de typosquatting, alterações incomuns de mantenedores e pacotes com padrões de comportamento suspeitos. Marque quaisquer pacotes que precisam de revisão manual.

最佳实践

  • Execute verificações de vulnerabilidades em CI/CD antes de mesclar pull requests
  • Mantenha uma lista curada de licenças aprovadas para sua organização
  • Fixe versões exatas de dependências e atualize através de PRs automatizados

避免

  • Ignorar vulnerabilidades críticas porque os testes passam localmente
  • Usar intervalos de versão como '*' que permitem atualizações inesperadas
  • Adicionar dependências sem revisar seus termos de licenciamento

常见问题

Como esta habilidade detecta vulnerabilidades?
A habilidade verifica suas dependências contra bancos de dados de vulnerabilidades públicos, incluindo npm advisory, PyPI security e OSS Index. Ela corresponde nomes e versões de pacotes a CVEs conhecidas.
Esta habilidade pode corrigir vulnerabilidades automaticamente?
A habilidade gera scripts de remediação e comandos de atualização, mas requer sua confirmação antes de fazer alterações. Ela pode criar modelos de pull request para revisão.
Quais gerenciadores de pacotes são suportados?
Suporta npm/yarn (JavaScript), pip/poetry (Python), gem (Ruby), maven/gradle (Java), go mod, cargo (Rust), composer (PHP) e nuget (.NET).
Com que frequência devo executar auditorias de dependências?
Execute verificações em cada pull request para projetos críticos. Para manutenção, verificações semanais ou mensais identificam novas vulnerabilidades. Configure alertas para CVEs críticas que afetam suas dependências.
O que devo fazer sobre dependências GPL no meu projeto MIT?
Licenças GPL são incompatíveis com distribuição MIT. As opções incluem: substituir por alternativas MIT/Apache, isolar código GPL em processos separados ou alterar a licença do seu projeto para GPL.
Como verifico um nome de pacote suspeito?
Verifique o repositório do pacote, revise contagens de downloads, verifique a identidade do mantenedor e compare com pacotes legítimos conhecidos. Typosquats frequentemente têm poucos downloads e datas de criação recentes.

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/dependency-management-deps-audit

引用

main

文件结构

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md