fix-dependabot-alerts

Skill do szybkiego usuwania alertów bezpieczeństwa Dependabot w projektach npm. Identyfikuje podatne pakiety, analizuje czy są zależnościami bezpośrednimi czy pośrednimi, i proponuje odpowiednią strategię aktualizacji. Minimalizuje ryzyko poprzez sprawdzenie zmian łamiących w nowych wersjach. Aktywuj go, gdy wspominasz o Dependabcie, CVE lub chcesz zaktualizować pakiety ze znanymi lukami.

1. Uruchom skill, podając numer alertu lub nazwę pakietu, który chcesz naprawić. Jeśli nie podasz konkretnego alertu, skill wyświetli listę wszystkich otwartych alertów bezpieczeństwa w repozytorium wraz z ich numerami, nazwami pakietów i poziomami ważności.

2. Skill automatycznie sprawdzi, czy podatny pakiet jest zależnością bezpośrednią (wymienioną w package.json) czy pośrednią (zależnością innego pakietu). Użyj komendy npm ls, aby zobaczyć pełne drzewo zależności.

3. Dla zależności bezpośrednich: sprawdź bieżącą wersję w package.json, przejrzyj notatki wydania nowej wersji w poszukiwaniu zmian łamiących, a następnie zainstaluj naprawioną wersję za pomocą npm install.

4. Dla zależności pośrednich: zidentyfikuj, która zależność bezpośrednia wprowadza podatny pakiet, i sprawdź, czy nowsza wersja tej zależności już zawiera naprawę. Jeśli tak, zaktualizuj zależność bezpośrednią. Jeśli nie, rozważ dodanie override'u w package.json.

5. Po aktualizacji uruchom testy i weryfikuj, że aplikacja działa prawidłowo z nowymi wersjami pakietów.

6. Skill pomoże Ci śledzić status każdego alertu i upewnić się, że wszystkie luki zostały zamknięte.