المهارات codebase-cleanup-deps-audit
📦

codebase-cleanup-deps-audit

مخاطر منخفضة ⚙️ الأوامر الخارجية🌐 الوصول إلى الشبكة📁 الوصول إلى نظام الملفات

Аудит зависимостей на предмет уязвимостей безопасности

Обеспечьте безопасность своих проектов, выявляя устаревшие зависимости с уязвимостями или несовместимые по лицензии. Этот навык сканирует дерево зависимостей, проверяет базы данных уязвимостей и предоставляет приоритетные шаги по устранению проблем.

يدعم: Claude Codex Code(CC)
⚠️ 66 ضعيف
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "codebase-cleanup-deps-audit". Scan for vulnerabilities in a Node.js project with 45 dependencies

النتيجة المتوقعة:

  • Security Audit Summary
  • Total Dependencies: 45
  • Vulnerabilities Found: 3 (1 critical, 2 high)
  • Critical: lodash <4.17.21 - Prototype Pollution (CVE-2021-23337) - Upgrade to 4.17.21
  • High: minimist <1.2.6 - Prototype Pollution (CVE-2021-44906) - Upgrade to 1.2.6
  • High: node-fetch <2.6.7 - Information Disclosure (CVE-2022-0235) - Upgrade to 2.6.7
  • Recommended Action: Run npm audit fix --force to apply patches

استخدام "codebase-cleanup-deps-audit". Check license compliance for a commercial project

النتيجة المتوقعة:

  • License Compliance Report
  • Project License: Proprietary
  • Total Dependencies: 128
  • Issues Found: 2
  • GPL-3.0: package-name - Copyleft license incompatible with proprietary use
  • Unknown: legacy-lib - License not specified, legal review required
  • Recommendation: Replace GPL dependency with MIT alternative or obtain commercial license

التدقيق الأمني

مخاطر منخفضة
v1 • 2/25/2026

Static analysis detected 50 patterns in 2 files (821 lines), but all findings are false positives from markdown documentation containing code examples. The skill is a legitimate dependency audit tool with no malicious intent. Minor risk indicators exist due to documented use of external commands and network APIs for dependency scanning.

2
الملفات التي تم فحصها
821
الأسطر التي تم تحليلها
6
النتائج
1
إجمالي عمليات التدقيق
مشكلات متوسطة المخاطر (1)
resources/implementation-playbook.md:12-748
Static Analysis False Positives - External Commands
Static scanner detected 33 'backtick execution' and shell command patterns. These are all false positives - the patterns exist in markdown code blocks (```python, ```bash, ```yaml) within documentation files, not in executable code. The skill references external commands like npm audit, pip, and git for legitimate dependency scanning operations.
مشكلات منخفضة المخاطر (2)
resources/implementation-playbook.md:144-147resources/implementation-playbook.md:184-185resources/implementation-playbook.md:467-468
Network API References in Documentation
Static scanner detected fetch calls and HTTP client usage. These are documentation examples showing how to call vulnerability databases (npm audit API, PyPI, OSS Index) for legitimate security scanning purposes.
resources/implementation-playbook.md:234
Filesystem Operations in Examples
Hard link creation pattern detected in Python code example for dependency tree analysis. This is documentation showing file operations for scanning project directories.

عوامل الخطر

⚙️ الأوامر الخارجية (3)
resources/implementation-playbook.md:584-631 SKILL.md:37 SKILL.md:53
🌐 الوصول إلى الشبكة (3)
resources/implementation-playbook.md:144-147 resources/implementation-playbook.md:184-185 resources/implementation-playbook.md:467-468
📁 الوصول إلى نظام الملفات (1)
resources/implementation-playbook.md:234
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
21
المجتمع
81
الأمان
91
الامتثال للمواصفات

ماذا يمكنك بناءه

Предрелизный аудит безопасности

Выполните полный аудит зависимостей перед выпуском новой версии для выявления и устранения уязвимостей, которые могут затронуть пользователей.

Проверка соответствия лицензиям

Убедитесь, что все зависимости имеют совместимые лицензии перед интеграцией в коммерческий продукт, чтобы избежать юридических рисков.

Оценка технического долга

Выявите устаревшие зависимости и расставьте приоритеты обновлений на основе возраста, критических изменений и влияния на безопасность.

جرّب هذه الموجهات

Быстрое сканирование уязвимостей 
Сканируйте мой проект на наличие уязвимостей в зависимостях. Проверьте package.json и сообщите о любых критических проблемах или проблемах высокой степени серьезности с рекомендуемыми исправлениями.
Полный аудит зависимостей 
Выполните полный аудит зависимостей, включающий сканирование уязвимостей, проверку соответствия лицензиям и анализ устаревших пакетов. Расставьте приоритеты по степени серьзности и предоставьте практические шаги по устранению.
Проверка совместимости лицензий 
Проанализируйте все зависимости на совместимость лицензий с нашим проектом под лицензией MIT. Отметьте любые лицензии GPL, AGPL или проприетарные и предложите альтернативы.
Автоматизированный план обновления 
Создайте приоритетный план обновления зависимостей. Сгруппируйте обновления по уровню риска (сначала исправления безопасности, затем основные версии), оцените усилия для каждого и сгенерируйте команды обновления.

أفضل الممارسات

  • Регулярно выполняйте аудит зависимостей (еженедельно или перед каждым релизом)
  • Фиксируйте версии зависимостей в файлах блокировки для обеспечения воспроизводимых сборок
  • Проверяйте и тестируйте обновления безопасности в staging-среде перед развертыванием в production

تجنب

  • Игнорирование критических уязвимостей из-за успешного прохождения локальных тестов
  • Обновление всех зависимостей сразу без тестирования каждого изменения
  • Использование зависимостей с неизвестными или несовместимыми лицензиями в коммерческих продуктах

الأسئلة المتكررة

Какие менеджеры пакетов поддерживает этот навык?
Навык поддерживает npm/Yarn (JavaScript), pip/Poetry (Python), gem (Ruby), maven/gradle (Java), go modules, cargo (Rust), composer (PHP) и NuGet (.NET).
Как навык проверяет уязвимости?
Он запрашивает публичные базы данных уязвимостей, включая npm audit API, базу данных безопасности PyPI, GitHub Security Advisories и Sonatype OSS Index, чтобы сопоставить ваши зависимости с известными CVE.
Может ли этот навык автоматически исправлять уязвимости?
Навык генерирует команды исправления и шаблоны pull-запросов, но требует подтверждения пользователя перед внесением каких-либо изменений в ваш проект.
Что делать, если у зависимости нет лицензии?
Относитесь к зависимостям без лицензии как к высокому риску. Свяжитесь с сопровождающим для уточнения лицензирования или замените на альтернативу с надлежащей лицензией, чтобы избежать юридических проблем.
Как часто следует выполнять аудит зависимостей?
Запускайте аудиты еженедельно через CI/CD, перед каждым релизом и сразу после раскрытия новых уязвимостей в вашем дереве зависимостей.
Проверяет ли этот навык транзитивные зависимости?
Да, навык анализирует как прямые зависимости, так и транзитивные зависимости (зависимости зависимостей) для полного покрытия.

تفاصيل المطور

المؤلف

sickn33

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/codebase-cleanup-deps-audit

مرجع

main

بنية الملفات

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md