Навыки codebase-cleanup-deps-audit
📦

codebase-cleanup-deps-audit

Низкий риск ⚙️ Внешние команды🌐 Доступ к сети📁 Доступ к файловой системе

Аудит зависимостей на предмет уязвимостей безопасности

Обеспечьте безопасность своих проектов, выявляя устаревшие зависимости с уязвимостями или несовместимые по лицензии. Этот навык сканирует дерево зависимостей, проверяет базы данных уязвимостей и предоставляет приоритетные шаги по устранению проблем.

Поддерживает: Claude Codex Code(CC)
⚠️ 68 Плохо
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «codebase-cleanup-deps-audit». Scan for vulnerabilities in a Node.js project with 45 dependencies

Ожидаемый результат:

  • Security Audit Summary
  • Total Dependencies: 45
  • Vulnerabilities Found: 3 (1 critical, 2 high)
  • Critical: lodash <4.17.21 - Prototype Pollution (CVE-2021-23337) - Upgrade to 4.17.21
  • High: minimist <1.2.6 - Prototype Pollution (CVE-2021-44906) - Upgrade to 1.2.6
  • High: node-fetch <2.6.7 - Information Disclosure (CVE-2022-0235) - Upgrade to 2.6.7
  • Recommended Action: Run npm audit fix --force to apply patches

Использование «codebase-cleanup-deps-audit». Check license compliance for a commercial project

Ожидаемый результат:

  • License Compliance Report
  • Project License: Proprietary
  • Total Dependencies: 128
  • Issues Found: 2
  • GPL-3.0: package-name - Copyleft license incompatible with proprietary use
  • Unknown: legacy-lib - License not specified, legal review required
  • Recommendation: Replace GPL dependency with MIT alternative or obtain commercial license

Аудит безопасности

Низкий риск
v1 • 2/25/2026

Static analysis detected 50 patterns in 2 files (821 lines), but all findings are false positives from markdown documentation containing code examples. The skill is a legitimate dependency audit tool with no malicious intent. Minor risk indicators exist due to documented use of external commands and network APIs for dependency scanning.

2
Просканировано файлов
821
Проанализировано строк
6
находки
1
Всего аудитов
Проблемы среднего риска (1)
resources/implementation-playbook.md:12-748
Static Analysis False Positives - External Commands
Static scanner detected 33 'backtick execution' and shell command patterns. These are all false positives - the patterns exist in markdown code blocks (```python, ```bash, ```yaml) within documentation files, not in executable code. The skill references external commands like npm audit, pip, and git for legitimate dependency scanning operations.
Проблемы низкого риска (2)
resources/implementation-playbook.md:144-147resources/implementation-playbook.md:184-185resources/implementation-playbook.md:467-468
Network API References in Documentation
Static scanner detected fetch calls and HTTP client usage. These are documentation examples showing how to call vulnerability databases (npm audit API, PyPI, OSS Index) for legitimate security scanning purposes.
resources/implementation-playbook.md:234
Filesystem Operations in Examples
Hard link creation pattern detected in Python code example for dependency tree analysis. This is documentation showing file operations for scanning project directories.

Факторы риска

⚙️ Внешние команды (3)
resources/implementation-playbook.md:584-631 SKILL.md:37 SKILL.md:53
🌐 Доступ к сети (3)
resources/implementation-playbook.md:144-147 resources/implementation-playbook.md:184-185 resources/implementation-playbook.md:467-468
📁 Доступ к файловой системе (1)
resources/implementation-playbook.md:234
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
31
Сообщество
81
Безопасность
91
Соответствие спецификации

Что вы можете построить

Предрелизный аудит безопасности

Выполните полный аудит зависимостей перед выпуском новой версии для выявления и устранения уязвимостей, которые могут затронуть пользователей.

Проверка соответствия лицензиям

Убедитесь, что все зависимости имеют совместимые лицензии перед интеграцией в коммерческий продукт, чтобы избежать юридических рисков.

Оценка технического долга

Выявите устаревшие зависимости и расставьте приоритеты обновлений на основе возраста, критических изменений и влияния на безопасность.

Попробуйте эти промпты

Быстрое сканирование уязвимостей 
Сканируйте мой проект на наличие уязвимостей в зависимостях. Проверьте package.json и сообщите о любых критических проблемах или проблемах высокой степени серьезности с рекомендуемыми исправлениями.
Полный аудит зависимостей 
Выполните полный аудит зависимостей, включающий сканирование уязвимостей, проверку соответствия лицензиям и анализ устаревших пакетов. Расставьте приоритеты по степени серьзности и предоставьте практические шаги по устранению.
Проверка совместимости лицензий 
Проанализируйте все зависимости на совместимость лицензий с нашим проектом под лицензией MIT. Отметьте любые лицензии GPL, AGPL или проприетарные и предложите альтернативы.
Автоматизированный план обновления 
Создайте приоритетный план обновления зависимостей. Сгруппируйте обновления по уровню риска (сначала исправления безопасности, затем основные версии), оцените усилия для каждого и сгенерируйте команды обновления.

Лучшие практики

  • Регулярно выполняйте аудит зависимостей (еженедельно или перед каждым релизом)
  • Фиксируйте версии зависимостей в файлах блокировки для обеспечения воспроизводимых сборок
  • Проверяйте и тестируйте обновления безопасности в staging-среде перед развертыванием в production

Избегать

  • Игнорирование критических уязвимостей из-за успешного прохождения локальных тестов
  • Обновление всех зависимостей сразу без тестирования каждого изменения
  • Использование зависимостей с неизвестными или несовместимыми лицензиями в коммерческих продуктах

Часто задаваемые вопросы

Какие менеджеры пакетов поддерживает этот навык?
Навык поддерживает npm/Yarn (JavaScript), pip/Poetry (Python), gem (Ruby), maven/gradle (Java), go modules, cargo (Rust), composer (PHP) и NuGet (.NET).
Как навык проверяет уязвимости?
Он запрашивает публичные базы данных уязвимостей, включая npm audit API, базу данных безопасности PyPI, GitHub Security Advisories и Sonatype OSS Index, чтобы сопоставить ваши зависимости с известными CVE.
Может ли этот навык автоматически исправлять уязвимости?
Навык генерирует команды исправления и шаблоны pull-запросов, но требует подтверждения пользователя перед внесением каких-либо изменений в ваш проект.
Что делать, если у зависимости нет лицензии?
Относитесь к зависимостям без лицензии как к высокому риску. Свяжитесь с сопровождающим для уточнения лицензирования или замените на альтернативу с надлежащей лицензией, чтобы избежать юридических проблем.
Как часто следует выполнять аудит зависимостей?
Запускайте аудиты еженедельно через CI/CD, перед каждым релизом и сразу после раскрытия новых уязвимостей в вашем дереве зависимостей.
Проверяет ли этот навык транзитивные зависимости?
Да, навык анализирует как прямые зависимости, так и транзитивные зависимости (зависимости зависимостей) для полного покрытия.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/codebase-cleanup-deps-audit

Ссылка

main

Структура файлов

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md