codebase-cleanup-deps-audit
審核相依套件的安全漏洞
透過識別易受攻擊、過時或授權不相容的相依套件來保護您的專案安全。此技能會掃描您的相依套件樹,檢查漏洞資料庫,並提供優先排序的修復步驟。
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "codebase-cleanup-deps-audit". 掃描具有 45 個相依套件的 Node.js 專案中的漏洞
Résultat attendu:
- 安全審核摘要
- 相依套件總數:45
- 發現漏洞:3 個(1 個關鍵,2 個高)
- 關鍵:lodash <4.17.21 - 原型污染(CVE-2021-23337)- 升級至 4.17.21
- 高:minimist <1.2.6 - 原型污染(CVE-2021-44906)- 升級至 1.2.6
- 高:node-fetch <2.6.7 - 資訊洩露(CVE-2022-0235)- 升級至 2.6.7
- 建議操作:執行 npm audit fix --force 以套用修補程式
Utilisation de "codebase-cleanup-deps-audit". 檢查商業專案的授權合規性
Résultat attendu:
- 授權合規報告
- 專案授權:專有
- 相依套件總數:128
- 發現問題:2 個
- GPL-3.0:package-name - Copyleft 授權與專有使用不相容
- 未知:legacy-lib - 未指定授權,需要法務審查
- 建議:將 GPL 相依套件替換為 MIT 替代方案或取得商業授權
Audit de sécurité
Risque faibleStatic analysis detected 50 patterns in 2 files (821 lines), but all findings are false positives from markdown documentation containing code examples. The skill is a legitimate dependency audit tool with no malicious intent. Minor risk indicators exist due to documented use of external commands and network APIs for dependency scanning.
Problèmes à risque moyen (1)
Problèmes à risque faible (2)
Facteurs de risque
⚙️ Commandes externes (3)
🌐 Accès réseau (3)
📁 Accès au système de fichiers (1)
Score de qualité
Ce que vous pouvez construire
發布前安全審核
在發布新版本之前執行全面的相依套件審核,以識別並修復可能影響使用者的漏洞。
授權合規審查
在整合到商業產品之前驗證所有相依套件具有相容的授權,以避免法律風險。
技術債務評估
識別過時的相依套件,並根據年限、重大變更和安全影響優先排序更新。
Essayez ces prompts
掃描我的專案是否有相依套件漏洞。檢查 package.json 並報告任何關鍵或高嚴重性問題,附上建議的修復方案。
執行完整的相依套件審核,包括漏洞掃描、授權合規檢查和過時套件分析。依嚴重性優先排序發現結果,並提供可執行的修復步驟。
分析所有相依套件與我們 MIT 授權專案的授權相容性。標記任何 GPL、AGPL 或專有授權,並建議替代方案。
建立優先排序的相依套件更新計畫。依風險層級分組更新(安全修補程式優先,然後是主要版本),估算每項的工作量,並生成更新指令。
Bonnes pratiques
- 依定期時程執行相依套件審核(每週或每次發布前)
- 在鎖定檔案中固定相依套件版本以確保可重現的建置
- 在部署到生產環境之前,在 staging 環境中審查和測試安全更新
Éviter
- 因為本機測試通過而忽略關鍵漏洞
- 一次更新所有相依套件而未測試每個變更
- 在商業產品中使用授權不明或不相容的相依套件
Foire aux questions
此技能支援哪些套件管理器?
此技能如何檢查漏洞?
此技能可以自動修復漏洞嗎?
如果相依套件沒有授權該怎麼辦?
我應該多久執行一次相依套件審核?
此技能是否檢查傳遞式相依套件?
Détails du développeur
Auteur
sickn33Licence
MIT
Dépôt
https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/codebase-cleanup-deps-auditRéf
main
Structure de fichiers