dependency-auditor

Dependency Auditor 是一个自动化的安全性技能，专为实时监控专案依赖档案而设计。它能跨多种生态系统（如 Node.js、Python、Java、Ruby、Go 和 PHP）提供持续性的漏洞检测。透过监听依赖清单档案（例如 package.json 或 requirements.txt）的变更，该技能会自动触发扫描，以识别已知的 CVE、过时套件、恶意依赖项以及可能影响商业专案的授权合规性问题。它将检测结果分为四个严重等级：CRITICAL、HIGH、MEDIUM 和 LOW，并提供具体的修复路径，例如自动修复指令或版本更新建议。

• 实时监控 package.json、requirements.txt、Gemfile 及各类锁定档 (lock files)。
• 支持跨语言套件管理器的安全性扫描，整合 npm audit、pip-audit、safety check 与 bundle audit 等工具。
• 提供详细的严重性报告，包含 NVD/CVE 数据库链接与明确的缓解步骤。
• 具备授权合规性检查，协助预防在商业应用中误用 GPL-3.0 等具有限制性的授权软件。
• 支持 CI/CD 流程整合，可通过自动扫描指令建立部署阻挡机制。
• 提供多样化的修复策略，从简单的自动修复指令到手动版本锁定建议。

此工具专为希望在不增加手动负担的情况下，维护软件供应链安全的开发者、DevOps 工程师及资安团队打造。它无缝整合于开发生命周期中，能对依赖更新、部署前检查及使用者指令做出反应。虽然该技能可自主运行，但在沙盒环境中执行时，需具备读取依赖清单档案的权限，并需针对官方套件注册中心（如 registry.npmjs.org, pypi.org 等）设定网络存取权，以确保能顺利查询漏洞数据库。