依赖审计技能 - 自动化漏洞扫描与许可证合规检查

依赖审计与安全分析技能

技能概述

这是一个自动化依赖安全审计工具，帮你扫描项目中的漏洞、检查许可证合规性，并提供可执行的修复建议。

适用场景

项目安全审查 - 在合并代码或发布前，自动检查所有依赖包是否存在已知漏洞、许可证冲突或维护风险。

许可证合规管理 - 当你需要确保项目使用的开源组件符合企业或法律要求时，快速识别高风险许可证（如 GPL）与许可证冲突。

依赖升级规划 - 面对大量过时的依赖包时，获取按严重程度排序的升级建议，并了解每个升级的兼容性影响。

核心功能

漏洞扫描与风险评估 - 自动扫描直接和传递依赖，识别已知安全漏洞（CVE），按严重程度和暴露范围排序，确保优先修复最关键的问题。

许可证合规检查 - 分析所有依赖的开源许可证，检测许可证冲突和不合规风险，生成清晰的许可证清单报告。

智能升级建议 - 不仅识别过时包，还提供兼容性说明和升级路径，帮助你在最小化破坏性变更的前提下更新依赖。

常见问题

这个技能支持哪些包管理器？

支持主流的包管理器和生态系统，包括 npm/yarn/pnpm（JavaScript/TypeScript）、pip（Python）、Maven/Gradle（Java）、go mod（Go）等。技能会自动检测项目中的依赖清单文件（如 package.json、requirements.txt、pom.xml）。

扫描依赖会修改我的代码吗？

不会。这个技能只执行读取和分析操作，不会自动修改任何文件或升级依赖。它会提供详细的升级建议和兼容性说明，由你决定何时以及如何应用这些更改。如需自动化修复，可以参考 implementation-playbook.md 中的工作流。

漏洞严重程度是如何划分的？

漏洞按 CVSS 评分分为四个等级：严重（Critical）、高危（High）、中危（Medium）、低危（Low）。技能会结合漏洞的 CVSS 评分和实际暴露风险（如该依赖是否在关键路径上、是否接收外部输入）来提供修复优先级。

许可证冲突怎么处理？

技能会检测许可证之间的兼容性问题，例如当你的项目使用 MIT 许可证，但依赖了 GPL 组件时会产生冲突。报告会明确指出冲突的许可证对，并提供替换建议或法律合规指引。

如何在 CI/CD 中集成？

可以将此技能集成到 CI 流水线中，在构建或部署前自动执行依赖审计。当发现严重漏洞时，可以配置流水线失败以阻止部署。详细集成方案请参考 resources/implementation-playbook.md。

误报怎么办？

如果遇到误报（如标记为有漏洞但实际上不可达的依赖），可以在项目中配置排除规则。技能支持通过配置文件指定要忽略的特定漏洞 ID 或依赖包。

codebase-cleanup-deps-audit

作者

分类

安装