audit-dependencies

audit-dependencies 技能是一款专为维护 Payload CMS 存储库安全性而设计的工程代理工具。它能自动修复由 .github/workflows/audit-dependencies.sh CI 脚本标记的漏洞，通过分析依赖链并应用针对性的修复方案。适用于负责维护代码库安全性并需减少引入破坏性变更风险的软件工程师与维护者。

• 自动执行 pnpm audit 以识别具有可用修补程序的可操作漏洞。

• 递归追踪复杂的依赖链，区分直接依赖与传递依赖。

• 实作分层修复策略：优先考虑直接升级依赖，其次是锁定文件同步，仅在必要时才使用 pnpm 覆盖。

• 通过检查变更记录、发布说明及版本范围来评估破坏性变更的风险。

• 在应用修改前向用户提供结构化计划，并要求手动确认以确保安全性。

• 产生格式正确的提交讯息，并协助为经验证的安全性更新建立合并请求 (PR)。

• 需要标准的 pnpm 工作区设定；覆盖操作仅应用于根目录的 package.json。

• 使用 pnpm 覆盖时，代理工具严格遵循插入符号 (^) 范围规则，并防止在键中使用版本选择器。

• 用户应提供严重等级 (critical, high, moderate, low) 作为参数，以聚焦审计范围。

• 工具预期用户在选择主版本号升级或覆盖时，能主动验证架构影响。

• 在处理多个漏洞时可平行执行研究任务，以提高大规模安全性维护期间的效率。