Anthropic Claudeセキュリティ⭐ リポ 2品質スコア 69/100
dependency-health
プロジェクトの依存関係をセキュリティ脆弱性、バージョンの古さ、ライセンス互換性の問題について確認できます。依存関係の確認、パッケージの更新、セキュリティチェックの実行時、またはユーザーが「監査」「脆弱性」「古い」「依存関係」について言及した場合に使用します。
description の原文を見る
Check project dependencies for security vulnerabilities, outdated versions, and license compatibility issues. Use when reviewing dependencies, updating packages, running security checks, or when the user mentions "audit", "vulnerabilities", "outdated", or "dependencies".
SKILL.md 本文
依存関係ヘルスチェッカー
プロジェクトの依存関係を、既知の脆弱性、古いバージョン、潜在的な問題についてチェックします。
実行するタイミング
- ユーザーが依存関係のセキュリティまたは脆弱性について質問した
- ユーザーが依存関係を更新または追加している
- ユーザーが「audit」「outdated」「vulnerable」「dependencies」といったキーワードを使用している
- ユーザーがリリースまたはデプロイメント準備をしている
チェック対象
1. 既知の脆弱性
プロジェクトのパッケージマネージャーに対応する監査コマンドを実行します:
# Node.js
npm audit --json 2>/dev/null | python3 -c "import sys,json; d=json.load(sys.stdin); print(f'Vulnerabilities: {d.get(\"metadata\",{}).get(\"vulnerabilities\",{})}')"
# Python
pip audit 2>/dev/null || echo "Install: pip install pip-audit"
# Go
govulncheck ./... 2>/dev/null || echo "Install: go install golang.org/x/vuln/cmd/govulncheck@latest"
# Rust
cargo audit 2>/dev/null || echo "Install: cargo install cargo-audit"
2. 古い依存関係
# Node.js
npm outdated 2>/dev/null
# Python
pip list --outdated 2>/dev/null
# Go
go list -m -u all 2>/dev/null
# Rust
cargo outdated 2>/dev/null
3. レポート形式
結果を以下の形式で提示します:
| パッケージ | 現在のバージョン | 最新版 | 重大度 | 対応 |
|---|---|---|---|---|
| express | 4.18.2 | 5.1.0 | Major | 更新前にチェンジログを確認してください |
| lodash | 4.17.19 | 4.17.21 | Patch (security) | すぐに更新してください |
4. 推奨事項
- Critical/High 脆弱性: 直ちにフラグを立て、具体的なアップデートコマンドを提案する
- 古いバージョン (major): 破壊的変更に注意し、チェンジログへのリンクを提供する
- 古いバージョン (minor/patch): バッチアップデートを提案する
- 問題が見つからない: プロジェクトが健全であることを確認する
参考資料
- SECURITY.md — 脆弱性報告
- Dependabot config — 自動アップデート
- PROD_CHECKLIST.md — デプロイ前チェックリスト
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- vbonk
- リポジトリ
- vbonk/repo-template
- ライセンス
- MIT
- 最終更新
- 2026/5/12
Source: https://github.com/vbonk/repo-template / ライセンス: MIT