Stats
Actions
Tags
From alfred-dev
Audits project dependencies for CVEs, outdated versions, incompatible licenses, and abandoned packages using npm audit, pip-audit, cargo audit, govulncheck, composer audit. Blocks releases on critical/high vulns.
How this skill is triggered — by the user, by Claude, or both
Slash command
/alfred-dev:dependency-auditThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
Este skill ejecuta una auditoría completa de las dependencias del proyecto, verificando vulnerabilidades conocidas (CVEs), versiones desactualizadas, licencias incompatibles y paquetes abandonados. Las dependencias son el vector de ataque más común en la cadena de suministro de software; este análisis es obligatorio antes de cualquier release y recomendable de forma periódica.
Este skill ejecuta una auditoría completa de las dependencias del proyecto, verificando vulnerabilidades conocidas (CVEs), versiones desactualizadas, licencias incompatibles y paquetes abandonados. Las dependencias son el vector de ataque más común en la cadena de suministro de software; este análisis es obligatorio antes de cualquier release y recomendable de forma periódica.
HARD-GATE: si se detecta una vulnerabilidad crítica o alta sin parche disponible, el proceso se bloquea hasta que se resuelva o se documente una mitigación explícitamente aceptada por el usuario.
Detectar el ecosistema del proyecto. Identificar el gestor de paquetes (npm, pip, cargo, go modules, composer, etc.) y ejecutar la herramienta de auditoría correspondiente:
npm audit o yarn audit o pnpm audit.pip-audit o safety check.cargo audit.govulncheck.composer audit.Analizar vulnerabilidades por severidad:
| Severidad | Acción |
|---|---|
| Crítica | HARD-GATE: bloquear. Actualizar o eliminar la dependencia inmediatamente. |
| Alta | HARD-GATE: bloquear. Actualizar o documentar mitigación aceptada por el usuario. |
| Media | Planificar actualización. Crear issue si no se puede resolver ahora. |
| Baja | Documentar. Resolver cuando sea conveniente. |
Verificar versiones. Para cada dependencia, comprobar:
Verificar licencias. Listar las licencias de todas las dependencias (directas y transitivas) y verificar compatibilidad:
Identificar paquetes abandonados. Criterios de abandono:
Generar informe. Documentar los hallazgos en formato tabular con acciones recomendadas para cada problema encontrado.
Registrar los hallazgos críticos en la memoria del proyecto con memory_log_decision. Esto permite hacer seguimiento de vulnerabilidades conocidas entre sesiones y verificar que se han resuelto.
Consultar el stack detectado en la configuración de Alfred para seleccionar automáticamente la herramienta de auditoría adecuada (npm audit, pip-audit, cargo audit, etc.), evitando que el usuario tenga que especificarlo manualmente.
Este skill se centra en la detección puntual de vulnerabilidades y licencias. Para una estrategia de gestión continua de dependencias, usar dependency-strategy. Para aplicar actualizaciones concretas, usar dependency-update.
npx claudepluginhub 686f6c61/alfred-dev --plugin alfred-devAudits dependencies for vulnerabilities, outdated versions, transitive issues, and licenses in Node.js, Python, PHP, Ruby, Go, and Rust projects using npm audit, pip-audit, and equivalents.
Scans project dependencies for vulnerabilities, outdated packages, abandoned libraries, and supply chain risks. Auto-detects ecosystem and generates upgrade plan.
Audits dependencies for security, license, outdated, and transitive risk. Outputs findings table, license matrix, priority matrix, health score, and remediation plan.