security-scanning-security-dependencies
扫描依赖项以发现漏洞
自动扫描npm、pip、Go和Rust生态系统中的项目依赖项,以识别安全漏洞、生成SBOM并创建修复计划。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“security-scanning-security-dependencies”。 Scan dependencies for vulnerabilities
预期结果:
- 在2个生态系统中发现15个漏洞
- 严重:2 | 高危:5 | 中危:6 | 低危:2
- 关键漏洞:
- • lodash < 4.17.21 - CVE-2021-23337 - 在4.17.21中修复
- • moment < 2.29.4 - CVE-2022-24785 - 在2.29.4中修复
- 运行 'npm audit fix' 来应用可用补丁
正在使用“security-scanning-security-dependencies”。 Generate SBOM
预期结果:
- 已生成SBOM(CycloneDX 1.5)
- 组件:47个库
- 生态系统:npm(32个)、pip(15个)
- 导出格式:JSON可用
安全审计
安全This is a legitimate defensive security skill for scanning project dependencies across multiple ecosystems (npm, pip, go, cargo). The static analyzer detected patterns typical of security tooling: subprocess calls to run standard vulnerability scanners (npm audit, safety, govulncheck, cargo audit), network requests to public vulnerability databases, and filesystem operations for reading project files. All detected patterns are legitimate security best practices with no malicious intent. The skill helps users identify vulnerable dependencies, generate SBOMs, and create remediation plans.
中风险问题 (1)
风险因素
检测到的模式
质量评分
你能构建什么
发布前安全审计
在发布前扫描所有项目依赖项,以识别和修复关键漏洞
CI/CD流水线集成
将自动化依赖项扫描集成到持续集成工作流程中,以尽早发现漏洞
合规SBOM生成
为合规要求和供应链透明度生成软件材料清单
试试这些提示
扫描此项目中的依赖项以发现漏洞。如果存在,请检查npm、Python、Go和Rust依赖项。
为此项目生成CycloneDX格式的软件材料清单(SBOM)。包含来自已检测到的生态系统的所有依赖项。
列出在依赖项中发现的所有严重和高危漏洞。对于每个漏洞,显示软件包名称、当前版本、修复版本以及CVE(如果可用)。
为所有发现的漏洞创建优先级修复计划。按严重程度分组,并为每个受影响的软件包建议升级路径。
最佳实践
- 定期运行依赖项扫描,理想情况下通过CI/CD在每次提交时运行
- 首先优先修复严重和高危漏洞
- 更新依赖项后始终测试您的应用程序
- 保持最新的SBOM以满足合规要求和事件响应
避免
- 不要在未进行适当风险评估的情况下忽略漏洞警告
- 避免在未先审查更改的情况下运行自动修复
- 不要因时间压力而跳过扫描——漏洞可能被利用
- 在未测试更改的情况下,切勿提交更新的锁定文件