Навыки dependency-management-deps-audit
📦

dependency-management-deps-audit

Безопасно

Аудит зависимостей на наличие уязвимостей и проблем с лицензиями

Безопасное управление зависимостями представляет сложную задачу из-за постоянно появляющихся уязвимостей и сложных требований к лицензированию. Этот навык автоматизирует сканирование уязвимостей, проверку соответствия лицензий и предоставляет приоритизированные стратегии исправления.

Поддерживает: Claude Codex Code(CC)
📊 71 Адекватно
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «dependency-management-deps-audit». Scan dependencies in package.json for vulnerabilities

Ожидаемый результат:

Security Scan Results:

CRITICAL (2):
- lodash@4.17.15: Prototype pollution vulnerability (CVE-2021-23337). Update to 4.17.21
- axios@0.21.0: SSRF vulnerability (CVE-2021-3749). Update to 0.21.2

HIGH (1):
- node-fetch@2.6.0: Information exposure (CVE-2022-0155). Update to 2.6.7

Total vulnerabilities: 3 across 245 dependencies
Recommended action: Update critical packages within 24 hours

Использование «dependency-management-deps-audit». Check license compatibility for MIT project

Ожидаемый результат:

License Compliance Report:

Compatible (242 packages):
- MIT: 180 packages
- Apache-2.0: 45 packages
- BSD-3-Clause: 15 packages
- ISC: 2 packages

Review Required (3 packages):
- mystery-lib: Unknown license - no license file found
- legacy-utils: GPL-3.0 - incompatible with MIT projects
- old-module: No license specified

Action: Replace GPL-3.0 packages or obtain alternative licensing

Аудит безопасности

Безопасно
v1 • 2/24/2026

All static findings are false positives. The detected patterns exist in markdown documentation files containing code examples, not executable code. The implementation-playbook.md (767 lines) and SKILL.md (47 lines) are instructional documents showing users how to implement security scanning tools. No actual shell execution, network calls, or filesystem operations occur in the skill itself.

2
Просканировано файлов
814
Проанализировано строк
0
находки
1
Всего аудитов
Проблем безопасности не найдено
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
32
Сообщество
100
Безопасность
91
Соответствие спецификации

Что вы можете построить

Предрелизный аудит безопасности

Перед отправкой продакшен-кода просканируйте все зависимости для выявления и исправления критических уязвимостей. Создайте отчеты о соответствии для проверок безопасности.

Проверка соответствия лицензий

Проверьте лицензии всех зависимостей для обеспечения совместимости с лицензией вашего проекта. Определите проприетарные лицензии GPL, которые могут создать юридические риски.

Рабочий процесс поддержки зависимостей

Настройте автоматическое сканирование для выявления устаревших пакетов. Получайте приоритизированные списки обновлений на основе исправлений безопасности и возраста.

Попробуйте эти промпты

Базовое сканирование уязвимостей 
Просканируйте зависимости моего проекта на наличие известных уязвимостей. Укажите название пакета, текущую версию, степень серьезности уязвимости и рекомендуемую версию для исправления.
Отчет о соответствии лицензий 
Проанализируйте все лицензии зависимостей в этом проекте. Мой проект использует лицензию MIT. Определите несовместимые лицензии и объясните юридические риски для каждой.
Приоритизированный план обновлений 
Проверьте мои зависимости и создайте приоритизированный план обновлений. Ранжируйте сначала по риску безопасности, затем по степени устаревания каждого пакета. Включите примерную сложность каждого обновления.
Аудит безопасности цепочки поставок 
Проведите комплексный аудит безопасности цепочки поставок. Проверьте риски typosquatting, необычные изменения мейнтейнеров и пакеты с подозрительным поведением. Отметьте пакеты, требующие ручной проверки.

Лучшие практики

  • Запускайте сканирование уязвимостей в CI/CD перед слиянием pull-запросов
  • Ведите утвержденный список лицензий для вашей организации
  • Закрепляйте точные версии зависимостей и обновляйте через автоматизированные PR

Избегать

  • Игнорирование критических уязвимостей потому что тесты проходят локально
  • Использование диапазонов версий типа '*', которые допускают неожиданные обновления
  • Добавление зависимостей без проверки их лицензионных условий

Часто задаваемые вопросы

Как этот навык обнаруживает уязвимости?
Навык проверяет ваши зависимости по публичным базам данных уязвимостей, включая npm advisory, PyPI security и OSS Index. Он сопоставляет названия пакетов и версии с известными CVE.
Может ли этот навык автоматически исправлять уязвимости?
Навык генерирует скрипты исправления и команды обновления, но требует вашего подтверждения перед внесением изменений. Он может создавать шаблоны pull-запросов для проверки.
Какие менеджеры пакетов поддерживаются?
Поддерживает npm/yarn (JavaScript), pip/poetry (Python), gem (Ruby), maven/gradle (Java), go mod, cargo (Rust), composer (PHP) и nuget (.NET).
Как часто следует запускать аудит зависимостей?
Запускайте сканирование при каждом pull-запросе для критических проектов. Для обслуживания еженедельное или ежемесячное сканирование обнаруживает новые уязвимости. Настройте оповещения для критических CVE, затрагивающих ваши зависимости.
Что делать с GPL-зависимостями в моем MIT-проекте?
Лицензии GPL несовместимы с распространением MIT. Варианты включают: замену на альтернативы MIT/Apache, изоляцию GPL-кода в отдельных процессах или изменение лицензии вашего проекта на GPL.
Как проверить подозрительное название пакета?
Проверьте репозиторий пакета, просмотрите количество загрузок, проверьте идентичность мейнтейнера и сравните с известными легитимными пакетами. Typosquats часто имеют мало загрузок и недавние даты создания.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/dependency-management-deps-audit

Ссылка

main

Структура файлов

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md