dependency-security

Solid

Enforce dependency security scanning and SBOM generation. Use when adding dependencies, reviewing package.json, or during security audits. Covers OWASP dependency check, npm audit, and supply chain security.

AI & Automation 335 stars 29 forks Updated today

Install

View on GitHub

Quality Score: 85/100

Stars 20%
84
Recency 20%
100
Frontmatter 20%
70
Documentation 15%
100
Issue Health 10%
80
License 10%
0
Description 5%
100

Skill Content

# Dependency Security 의존성 보안 스캔 및 SBOM(Software Bill of Materials) 생성을 강제하는 스킬입니다. ## 2025 Context > **OWASP Top 10 2025에서 "Vulnerable and Outdated Components"가 A03으로 상승** > **EU Cyber Resilience Act: 2024년부터 SBOM 의무화 시작** > **Supply Chain 공격 급증: 2024년 대비 300% 증가** ## Core Rules | 규칙 | 상태 | 설명 | |------|------|------| | npm audit 통과 | 🔴 필수 | high/critical 취약점 0개 | | 의존성 최신화 | 🟡 권장 | 주요 보안 패치 적용 | | SBOM 생성 | 🟡 권장 | 의존성 목록 문서화 | | lockfile 커밋 | 🔴 필수 | 재현 가능한 빌드 | ## Security Audit ### npm audit ```bash # 취약점 검사 npm audit # 자동 수정 (가능한 경우) npm audit fix # 강제 수정 (major 버전 업데이트 포함) npm audit fix --force # ⚠️ 주의: 호환성 문제 가능 # JSON 출력 (CI용) npm audit --json ``` ### 결과 해석 ``` Severity levels: - critical: 🔴 즉시 수정 필수 - high: 🔴 즉시 수정 필수 - moderate: 🟡 조속히 수정 - low: 🟢 다음 업데이트 시 수정 ``` ### CI 통합 예시 ```yaml # GitHub Actions - name: Security Audit run: | npm audit --audit-level=high if [ $? -ne 0 ]; then echo "Security vulnerabilities found!" exit 1 fi ``` ## Dependency Management ### 의존성 업데이트 확인 ```bash # 오래된 패키지 확인 npm outdated # 업데이트 가능한 패키지 npx npm-check-updates # 대화형 업데이트 npx npm-check-updates -i ``` ### 안전한 업데이트 전략 ```bash # 1. 현재 상태 기록 npm outdated > outdated-$(date +%Y%m%d).txt # 2. patch 버전만 업데이트 (가장 안전) npx npm-check-updates -u --target patch # 3. minor 버전 업데이트 npx npm-check-updates -u --target minor # 4. 테스트 실행 npm test # 5. lockfile 커밋 git add package-lock.json git commit -m "chore: update dependencies (security...

Details

Author
aiskillstore
Repository
aiskillstore/marketplace
Created
5 months ago
Last Updated
today
Language
Python
License
None

Integrates with

GitHub · DevTools

Similar Skills

Semantically similar based on skill content — not just same category

AI & Automation Listed

dependency-audit

Provides dependency management and supply chain security practices for auditing vulnerabilities, checking licenses, assessing dependency health, and managing upgrades safely. Use when auditing packages, reviewing security, managing dependencies, or when user mentions 'audit', 'vulnerability', 'dependency', 'supply chain', 'npm audit', 'license', 'bundle size'.

62 Updated today
Tibsfox
Code & Development Listed

dependency-health

Check project dependencies for security vulnerabilities, outdated versions, and license compatibility issues. Use when reviewing dependencies, updating packages, running security checks, or when the user mentions "audit", "vulnerabilities", "outdated", or "dependencies".

2 Updated 6 days ago
vbonk
AI & Automation Listed

dependency-audit

의존성 보안 감사 — npm audit/pip audit 실행, 취약점 분석 및 업데이트 권고

2 Updated yesterday
U2SY26
AI & Automation Listed

dependency-audit-assistant

Reviews package dependencies for security vulnerabilities, outdated versions, and license compliance. Use when user asks about dependencies, security audits, or before releases.

335 Updated today
aiskillstore
AI & Automation Listed

dependency-auditor

Automated security auditing of project dependencies to identify known vulnerabilities.

335 Updated today
aiskillstore