security-scanning-security-dependencies
我是专注于依赖项漏洞分析、软件物料清单(SBOM)生成和软件供应链安全的专家。我的职责包括扫描跨生态系统的项目依赖,识别安全漏洞,评估风险等级,并提供修复建议。
作者
分类
开发工具安装
热度:0
下载并解压到你的 skills 目录
复制命令,发送给 OpenClaw 自动安装:
下载并安装这个技能 https://openskills.cc/api/download?slug=sickn33-skills-security-scanning-security-dependencies&locale=zh&source=copy
依赖漏洞扫描 - Dependency Vulnerability Scanning
技能概述
这是一个专注于依赖漏洞分析、SBOM 生成和供应链安全的安全专家技能,可跨多个生态系统扫描项目依赖,识别漏洞并评估风险。
适用场景
当你需要审计项目依赖中的安全漏洞或许可证风险时,此技能可以全面分析第三方组件,识别已知 CVE 漏洞、过期依赖和许可证合规问题。
在需要满足合规要求或提升供应链透明度时,可以生成标准 SBOM(软件物料清单),帮助追踪组件来源和版本信息,满足 SPDX、CycloneDX 等标准要求。
当项目使用多种包管理器(如 npm、pip、maven、go modules 等)时,此技能提供统一的扫描方案,避免使用多个工具的复杂性,实现标准化的安全检查流程。
核心功能
支持 JavaScript/TypeScript (npm/yarn)、Python (pip/poetry)、Java (Maven/Gradle)、Go、Rust 等主流生态系统的依赖扫描,自动识别 package.json、requirements.txt、go.mod 等配置文件。
根据项目依赖树自动生成 SPDX 或 CycloneDX 格式的软件物料清单,包含组件名称、版本、许可证、供应商等元数据,支持供应链安全追溯。
不仅识别漏洞,还会评估漏洞的严重程度(CVSS 评分)、利用难度和实际影响,提供优先级排序的修复建议,包括安全版本升级指南和缓解措施。
常见问题
依赖漏洞扫描能检测哪些类型的安全问题?
可以检测依赖包中已知的 CVE 安全漏洞、过时的依赖版本、许可证合规风险以及潜在的供应链攻击风险。扫描结果会包含漏洞的 CVSS 评分、受影响版本范围和推荐修复版本。
检测到漏洞后应该如何修复?
修复流程建议:首先评估漏洞的严重程度和可利用性;其次检查是否有可用的安全更新版本;对于无法立即升级的情况,技能会提供临时缓解措施(如配置 WAF 规则、隔离受影响组件等)。任何依赖变更都应经过充分测试后再部署。
扫描支持哪些包管理器和编程语言?
支持主流生态系统包括:JavaScript/TypeScript (npm、yarn、pnpm)、Python (pip、pipenv、poetry)、Java (Maven、Gradle)、Go (go modules)、Rust (Cargo)、.NET (NuGet)、Ruby (Bundler) 等。如果项目使用混合技术栈,可以统一扫描所有依赖。