dependency-management-deps-audit

依赖审计与安全分析 (Dependency Audit)

技能概述

自动化分析项目依赖中的安全漏洞、许可证冲突和供应链风险，并提供可执行的修复方案。

适用场景

项目安全审计：在代码发布前或定期安全检查中，全面扫描项目及其传递依赖的已知漏洞（CVE），识别高风险组件并生成安全报告。

许可证合规检查：分析所有依赖的许可证类型，发现与企业政策冲突或存在法律风险的许可证（如 GPL、AGPL 等），确保开源合规。

依赖升级规划：识别过时的依赖包，评估版本更新的兼容性影响，提供安全升级路径，减少因依赖问题导致的生产故障。

核心功能

漏洞扫描与风险评估：自动扫描直接和传递依赖，匹配已知漏洞数据库，按严重程度（Critical/High/Medium/Low）优先级排序，提供 CVE 详情和修复建议。

许可证合规分析：检测所有依赖的许可证类型，识别许可证冲突、传染性许可证风险，生成合规报告以满足企业法务要求。

智能升级建议：分析依赖的最新稳定版本，评估升级兼容性和潜在破坏性变更，提供分阶段升级方案，支持 CI/CD 流程集成。

常见问题

依赖审计能发现哪些安全问题？

依赖审计可以发现：已知安全漏洞（CVE）、过时的依赖版本、许可证合规风险、供应链投毒风险、维护状态异常（已废弃的包）、以及传递依赖中隐藏的风险。技能会生成包含严重程度评级和修复建议的详细报告。

如何处理有漏洞但无法立即更新的依赖？

对于暂时无法升级的依赖，技能会提供缓解策略：启用包管理器的安全覆盖补丁、添加安全警告注释、隔离受影响的功能模块、设置监控告警、规划后续升级时间表。如果是直接依赖，建议联系上游维护者；如果是传递依赖，可以考虑更新依赖树或使用依赖覆盖功能。

依赖审计应该多久执行一次？

建议在以下场景执行依赖审计：每次发布新版本前、每周自动化扫描（CI/CD 集成）、引入新依赖后立即检查、发现安全事件后紧急扫描。对于生产系统，建议每日自动化扫描高优先级依赖，每周全量扫描所有依赖，并订阅安全公告及时获取漏洞情报。