dependency-auditor

Dependency Auditor 是一個自動化的安全性技能，專為即時監控專案依賴檔案而設計。它能跨多種生態系統（如 Node.js、Python、Java、Ruby、Go 和 PHP）提供持續性的漏洞檢測。透過監聽依賴清單檔案（例如 package.json 或 requirements.txt）的變更，該技能會自動觸發掃描，以識別已知的 CVE、過時套件、惡意依賴項以及可能影響商業專案的授權合規性問題。它將檢測結果分為四個嚴格等級：CRITICAL、HIGH、MEDIUM 和 LOW，並提供具體的修復路徑，例如自動修復指令或版本更新建議。

• 即時監控 package.json、requirements.txt、Gemfile 及各類鎖定檔 (lock files)。
• 支援跨語言套件管理器的安全性掃描，整合 npm audit、pip-audit、safety check 與 bundle audit 等工具。
• 提供詳細的嚴重性報告，包含 NVD/CVE 資料庫連結與明確的緩解步驟。
• 具備授權合規性檢查，協助預防在商業應用中誤用 GPL-3.0 等具有限制性的授權軟體。
• 支援 CI/CD 流程整合，可透過自動掃描指令建立部署阻擋機制。
• 提供多樣化的修復策略，從簡單的自動修復指令到手動版本鎖定建議。

此工具專為希望在不增加手動負擔的情況下，維護軟體供應鏈安全的開發者、DevOps 工程師及資安團隊打造。它無縫整合於開發生命週期中，能對依賴更新、部署前檢查及使用者指令做出反應。雖然該技能可自主運行，但在沙盒環境中執行時，需具備讀取依賴清單檔案的權限，並需針對官方套件註冊中心（如 registry.npmjs.org, pypi.org 等）設定網路存取權，以確保能順利查詢漏洞資料庫。