audit-dependencies

audit-dependencies 技能是一款專門為維護 Payload CMS 儲存庫安全性而設計的工程代理工具。它能自動修復由 .github/workflows/audit-dependencies.sh CI 腳本標記的漏洞，透過分析依賴鏈並應用針對性的修復方案。適用於負責維護程式碼庫安全性並需減少引入破壞性變更風險的軟體工程師與維護者。

• 自動執行 pnpm audit 以識別具有可用修補程式的可操作漏洞。

• 遞迴追蹤複雜的依賴鏈，區分直接依賴與傳遞依賴。

• 實作分層修復策略：優先考慮直接升級依賴，其次是鎖定檔案同步，僅在必要時才使用 pnpm 覆寫。

• 透過檢查變更記錄、發布說明及版本範圍來評估破壞性變更的風險。

• 在應用修改前向使用者提供結構化計畫，並要求手動確認以確保安全性。

• 產生格式正確的提交訊息，並協助為經驗證的安全性更新建立合併請求 (PR)。

• 需要標準的 pnpm 工作區設定；覆寫操作僅應用於根目錄的 package.json。

• 使用 pnpm 覆寫時，代理工具嚴格遵循插入符號 (^) 範圍規則，並防止在鍵中使用版本選擇器。

• 使用者應提供嚴重等級 (critical, high, moderate, low) 作為參數，以聚焦稽核範圍。

• 工具預期使用者在選擇主版本號升級或覆寫時，能主動驗證架構影響。

• 在處理多個漏洞時可平行執行研究任務，以提高大規模安全性維護期間的效率。