dependency-management-deps-audit
审计依赖项以查找漏洞和许可证问题
管理依赖项具有挑战性,因为新漏洞不断出现且许可证要求复杂。此技能自动化漏洞扫描、许可证合规性检查,并提供优先级排序的修复策略。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“dependency-management-deps-audit”。 扫描 package.json 中的依赖项漏洞
预期结果:
安全扫描结果:
严重(2):
- lodash@4.17.15:原型污染漏洞(CVE-2021-23337)。更新到 4.17.21
- axios@0.21.0:SSRF 漏洞(CVE-2021-3749)。更新到 0.21.2
高(1):
- node-fetch@2.6.0:信息泄露(CVE-2022-0155)。更新到 2.6.7
漏洞总数:245 个依赖项中发现 3 个
建议操作:24 小时内更新关键包
正在使用“dependency-management-deps-audit”。 检查 MIT 项目的许可证兼容性
预期结果:
许可证合规报告:
兼容(242 个包):
- MIT:180 个包
- Apache-2.0:45 个包
- BSD-3-Clause:15 个包
- ISC:2 个包
需要审查(3 个包):
- mystery-lib:未知许可证 - 未找到许可证文件
- legacy-utils:GPL-3.0 - 与 MIT 项目不兼容
- old-module:未指定许可证
操作:替换 GPL-3.0 包或获取替代许可证
安全审计
安全All static findings are false positives. The detected patterns exist in markdown documentation files containing code examples, not executable code. The implementation-playbook.md (767 lines) and SKILL.md (47 lines) are instructional documents showing users how to implement security scanning tools. No actual shell execution, network calls, or filesystem operations occur in the skill itself.
质量评分
你能构建什么
发布前安全审计
在发布生产代码之前,扫描所有依赖项以识别和修复关键漏洞。生成合规报告供安全审查使用。
许可证合规验证
审查所有依赖许可证以确保与项目许可证兼容。识别可能产生法律风险的 GPL 或专有许可证。
依赖维护工作流
设置自动化扫描以识别过时的包。接收基于安全修复和时间的优先级更新列表。
试试这些提示
扫描我的项目依赖项以查找已知漏洞。识别包名称、当前版本、漏洞严重程度和推荐的修复版本。
分析此项目中的所有依赖许可证。我的项目使用 MIT 许可证。识别任何不兼容的许可证并解释每个许可证的法律风险。
审查我的依赖项并创建优先级更新计划。首先按安全风险排名,然后按每个包的过时程度排名。包括每次更新的预估工作量。
执行全面的供应链安全审计。检查域名抢注风险、异常维护者变更以及具有可疑行为模式的包。标记需要手动审查的包。
最佳实践
- 在合并拉取请求前在 CI/CD 中运行漏洞扫描
- 为组织维护一个已批准许可证的精选列表
- 锁定确切的依赖版本并通过自动化 PR 进行更新
避免
- 因为本地测试通过而忽略关键漏洞
- 使用如 '*' 之类的版本范围导致意外更新
- 添加依赖项前未审查其许可证条款