依赖项与复用审计器 - 代码安全漏洞扫描、依赖管理优化工具

ln-625-dependencies-auditor by levnikolaevich/claude-code-skills

159 周安装量

245 GitHub Stars

安装命令

npx skills add https://github.com/levnikolaevich/claude-code-skills --skill ln-625-dependencies-auditor

🇨🇳中文介绍

路径说明： 文件路径（shared/、references/、../ln-*）是相对于技能仓库根目录的。如果在当前工作目录未找到，请定位此 SKILL.md 文件所在的目录，然后向上返回一级以找到仓库根目录。如果缺少 shared/ 目录，请通过 WebFetch 从 https://raw.githubusercontent.com/levnikolaevich/claude-code-skills/master/skills/{path} 获取文件。

依赖项与复用审计器 (L3 Worker)

专门用于审计依赖项管理、代码复用和安全漏洞的工作器。

目的与范围

作为 ln-620 协调器流水线中的工作器（完整审计模式）
作为 ln-760 安全设置流水线中的工作器（仅漏洞模式）
审计依赖项与复用（类别 7 和 8：中等优先级）
检查过时的包、未使用的依赖项、重复造轮子、CVE 漏洞
计算合规性分数 (X/10)

参数

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

输入（来自协调器）

必读： 加载 shared/references/audit_worker_core_contract.md。

接收包含技术栈、包清单路径、代码库根目录、output_dir 的 contextStore。

来自 ln-620 (代码库审计器): mode=full (默认) 来自 ln-760 (安全设置): mode=vulnerabilities_only

必读： 加载 shared/references/two_layer_detection.md 以了解检测方法。

解析上下文 + mode 参数 + output_dir
运行依赖项检查（第 1 层：审计工具，基于 mode）
按候选项目分析上下文（第 2 层）：
- 可用特性：读取使用情况 — lodash 是仅用于一个函数（易于替换）还是深度集成（难以替换）？
- 自定义实现：阅读代码 — 是真正重新实现了某个库，还是领域特定逻辑？
- 漏洞：阅读代码 — 项目中是否实际调用了易受攻击的 API？
收集发现项
计算分数
撰写报告： 根据 shared/templates/audit_worker_report_template.md 在内存中构建完整的 Markdown 报告，通过单次 Write 调用写入 {output_dir}/625-dependencies.md
返回摘要： 向协调器返回最简摘要

审计规则（5 项检查）

模式： 仅 full

运行 npm outdated --json (Node.js)
运行 pip list --outdated --format=json (Python)
运行 cargo outdated --format=json (Rust)

高：主版本落后（安全风险）
中：次版本落后
低：补丁版本落后

建议： 更新到最新版本，测试是否存在破坏性变更

工作量： 小-中（更新版本，运行测试）

2. 未使用的依赖项

模式： 仅 full

解析 package.json/requirements.txt
在代码库中 grep import/require 语句
查找从未被导入的依赖项

中：未使用的生产依赖项（增加包体积）
低：未使用的开发依赖项

建议： 从包清单中移除

工作量： 小（删除行，测试）

3. 未使用的可用特性

模式： 仅 full

检查在原生 fetch 可用时（Node 18+）是否使用了 axios
检查在数组方法足够时是否使用了 lodash
检查在 Date.toLocaleString 足够时是否使用了 moment

中：不必要的依赖项（增加包体积）

建议： 使用原生替代方案

工作量： 中（重构代码以使用原生 API）

模式： 仅 full

查找自定义排序算法
检查手动实现的验证逻辑（与 validator.js 对比）
查找自定义日期解析（与 date-fns/dayjs 对比）

高：自定义加密（安全风险）
中：存在经过充分测试的替代方案的自定义工具

建议： 替换为成熟的库

工作量： 中（集成库，替换调用）

5. 漏洞扫描 (CVE/CVSS)

模式： full 和 vulnerabilities_only

检测生态系统：npm、NuGet、pip、Go、Bundler、Cargo、Composer
根据 references/vulnerability_commands.md 运行审计命令
根据 shared/references/cvss_severity_mapping.md 解析结果并进行 CVSS 映射

严重： CVSS 9.0-10.0（需要立即修复）
高： CVSS 7.0-8.9（48 小时内修复）
中： CVSS 4.0-6.9（1 周内修复）
低： CVSS 0.1-3.9（方便时修复）

补丁更新 (x.x.Y) → 安全的自动修复
次版本更新 (x.Y.0) → 通常安全
主版本更新 (Y.0.0) → 需要手动审查
无可用修复 → 记录并监控

建议： 更新到已修复的版本，验证锁文件完整性

工作量： 小-大（取决于破坏性变更）

必读： 加载 shared/references/audit_worker_core_contract.md 和 shared/references/audit_scoring.md。

注意： 当 mode=vulnerabilities_only 时，分数仅基于漏洞发现项计算。

必读： 加载 shared/references/audit_worker_core_contract.md 和 shared/templates/audit_worker_report_template.md。

将报告写入 {output_dir}/625-dependencies.md，其中包含 category: "Dependencies & Reuse" 和检查项：outdated_packages, unused_deps, available_natives, custom_implementations, vulnerability_scan。

向协调器返回摘要：

Report written: docs/project/.audit/ln-620/{YYYY-MM-DD}/625-dependencies.md
Score: X.X/10 | Issues: N (C:N H:N M:N L:N)

文件	用途
`references/vulnerability_commands.md`	特定生态系统的审计命令
`references/ci_integration_guide.md`	CI/CD 集成指南
`shared/references/cvss_severity_mapping.md`	CVSS 到严重性级别的映射
`shared/references/audit_output_schema.md`	审计输出模式

必读： 加载 shared/references/audit_worker_core_contract.md。

禁止自动修复： 仅报告，切勿修改包清单或锁文件
模式感知执行： 在 vulnerabilities_only 模式下，完全跳过检查 1-4
工作量现实性： 小 = <1 小时，中 = 1-4 小时，大 = >4 小时
基于 CVSS 的严重性： 严格通过 shared/references/cvss_severity_mapping.md 映射漏洞严重性
排除项： 对于漏洞严重性升级，跳过 devDependencies；跳过供应商化/捆绑的依赖项

必读： 加载 shared/references/audit_worker_core_contract.md。

已解析 contextStore（包括 mode 参数和 output_dir）
已完成所有适用的检查（full 模式 5 项，vulnerabilities_only 模式 1 项）
已收集包含严重性、位置、工作量、修复类型、建议的发现项
已根据 shared/references/audit_scoring.md 计算分数
已将报告写入 {output_dir}/625-dependencies.md（原子性单次 Write 调用）
已向协调器返回摘要

版本： 4.0.0 最后更新： 2026-02-05

🇺🇸English

Paths: File paths (shared/, references/, ../ln-*) are relative to skills repo root. If not found at CWD, locate this SKILL.md directory and go up one level for repo root. If shared/ is missing, fetch files via WebFetch from https://raw.githubusercontent.com/levnikolaevich/claude-code-skills/master/skills/{path}.

Dependencies & Reuse Auditor (L3 Worker)

Specialized worker auditing dependency management, code reuse, and security vulnerabilities.

Purpose & Scope

Worker in ln-620 coordinator pipeline (full audit mode)
Worker in ln-760 security-setup pipeline (vulnerabilities_only mode)
Audit dependencies and reuse (Categories 7+8: Medium Priority)
Check outdated packages, unused deps, wheel reinvention, CVE vulnerabilities
Calculate compliance score (X/10)

Parameters

Param	Values	Default	Description
mode	`full` / `vulnerabilities_only`	`full`	`full` = all 5 checks, `vulnerabilities_only` = only CVE scan

Inputs (from Coordinator)

MANDATORY READ: Load shared/references/audit_worker_core_contract.md.

Receives contextStore with tech stack, package manifest paths, codebase root, output_dir.

From ln-620 (codebase-auditor): mode=full (default) From ln-760 (security-setup): mode=vulnerabilities_only

Workflow

MANDATORY READ: Load shared/references/two_layer_detection.md for detection methodology.

Parse context + mode parameter + output_dir
Run dependency checks (Layer 1: audit tools, based on mode)
Analyze context per candidate (Layer 2):
- Available Features: read usage — is lodash used for 1 function (easy replace) or deeply integrated (hard)?
- Custom Implementations: read code — truly reimplementing a library, or domain-specific logic?
- Vulnerability: read code — is the vulnerable API actually called in this project?
Collect findings
Calculate score
Write Report: Build full markdown report in memory per shared/templates/audit_worker_report_template.md, write to {output_dir}/625-dependencies.md in single Write call
Return Summary: Return minimal summary to coordinator

Audit Rules (5 Checks)

1. Outdated Packages

Mode: full only

Detection:

Run npm outdated --json (Node.js)
Run pip list --outdated --format=json (Python)
Run cargo outdated --format=json (Rust)

Severity:

HIGH: Major version behind (security risk)
MEDIUM: Minor version behind
LOW: Patch version behind

Recommendation: Update to latest version, test for breaking changes

Effort: S-M (update version, run tests)

2. Unused Dependencies

Mode: full only

Detection:

Parse package.json/requirements.txt
Grep codebase for import/require statements
Find dependencies never imported

Severity:

MEDIUM: Unused production dependency (bloats bundle)
LOW: Unused dev dependency

Recommendation: Remove from package manifest

Effort: S (delete line, test)

3. Available Features Not Used

Mode: full only

Detection:

Check for axios when native fetch available (Node 18+)
Check for lodash when Array methods sufficient
Check for moment when Date.toLocaleString sufficient

Severity:

MEDIUM: Unnecessary dependency (increases bundle size)

Recommendation: Use native alternative

Effort: M (refactor code to use native API)

4. Custom Implementations

Mode: full only

Detection:

Grep for custom sorting algorithms
Check for hand-rolled validation (vs validator.js)
Find custom date parsing (vs date-fns/dayjs)

Severity:

HIGH: Custom crypto (security risk)
MEDIUM: Custom utilities with well-tested alternatives

Recommendation: Replace with established library

Effort: M (integrate library, replace calls)

5. Vulnerability Scan (CVE/CVSS)

Mode: full AND vulnerabilities_only

Detection:

Detect ecosystems: npm, NuGet, pip, Go, Bundler, Cargo, Composer
Run audit commands per references/vulnerability_commands.md
Parse results with CVSS mapping per shared/references/cvss_severity_mapping.md

Severity:

CRITICAL: CVSS 9.0-10.0 (immediate fix required)
HIGH: CVSS 7.0-8.9 (fix within 48h)
MEDIUM: CVSS 4.0-6.9 (fix within 1 week)
LOW: CVSS 0.1-3.9 (fix when convenient)

Fix Classification:

Patch update (x.x.Y) → safe auto-fix
Minor update (x.Y.0) → usually safe
Major update (Y.0.0) → manual review required
No fix available → document and monitor

Recommendation: Update to fixed version, verify lock file integrity

Effort: S-L (depends on breaking changes)

Scoring Algorithm

MANDATORY READ: Load shared/references/audit_worker_core_contract.md and shared/references/audit_scoring.md.

Note: When mode=vulnerabilities_only, score based only on vulnerability findings.

Output Format

MANDATORY READ: Load shared/references/audit_worker_core_contract.md and shared/templates/audit_worker_report_template.md.

Write report to {output_dir}/625-dependencies.md with category: "Dependencies & Reuse" and checks: outdated_packages, unused_deps, available_natives, custom_implementations, vulnerability_scan.

Return summary to coordinator:

Report written: docs/project/.audit/ln-620/{YYYY-MM-DD}/625-dependencies.md
Score: X.X/10 | Issues: N (C:N H:N M:N L:N)

Reference Files

File	Purpose
`references/vulnerability_commands.md`	Ecosystem-specific audit commands
`references/ci_integration_guide.md`	CI/CD integration guidance
`shared/references/cvss_severity_mapping.md`	CVSS to severity level mapping
`shared/references/audit_output_schema.md`	Audit output schema

Critical Rules

MANDATORY READ: Load shared/references/audit_worker_core_contract.md.

Do not auto-fix: Report only, never modify package manifests or lock files
Mode-aware execution: In vulnerabilities_only mode, skip checks 1-4 entirely
Effort realism: S = <1h, M = 1-4h, L = >4h
CVSS-based severity: Map vulnerability severity strictly via shared/references/cvss_severity_mapping.md
Exclusions: Skip devDependencies for vulnerability severity escalation, skip vendored/bundled deps

Definition of Done

MANDATORY READ: Load shared/references/audit_worker_core_contract.md.

contextStore parsed (including mode parameter and output_dir)
All applicable checks completed (5 for full, 1 for vulnerabilities_only)
Findings collected with severity, location, effort, fix_type, recommendation
Score calculated per shared/references/audit_scoring.md
Report written to {output_dir}/625-dependencies.md (atomic single Write call)
Summary returned to coordinator

Version: 4.0.0 Last Updated: 2026-02-05

Weekly Installs

159

Repository

levnikolaevich/…e-skills

GitHub Stars

245

First Seen

Jan 24, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykWarn

Installed on

claude-code145

gemini-cli141

cursor141

opencode141

codex140

github-copilot135

OpenClaw 安全 Linux 云部署指南：私有优先、SSH隧道、Podman容器化

33,700 周安装

依赖项与复用审计器 - 代码安全漏洞扫描、依赖管理优化工具

🇨🇳中文介绍

依赖项与复用审计器 (L3 Worker)

目的与范围

参数

相关 Skills

输入（来自协调器）

工作流程

审计规则（5 项检查）

1. 过时的包

2. 未使用的依赖项

3. 未使用的可用特性

4. 自定义实现

5. 漏洞扫描 (CVE/CVSS)

评分算法

输出格式

参考文件

关键规则

完成定义

🇺🇸English

Dependencies & Reuse Auditor (L3 Worker)

Purpose & Scope

Parameters

Inputs (from Coordinator)

Workflow

Audit Rules (5 Checks)

1. Outdated Packages

2. Unused Dependencies

3. Available Features Not Used

4. Custom Implementations

5. Vulnerability Scan (CVE/CVSS)

Scoring Algorithm

Output Format

Reference Files

Critical Rules

Definition of Done

最新 Skills