security-scan

Skill do Claude'a, który pomaga rozwiązywać podatności bezpieczeństwa w projektach npm. Analizuje raporty z Snyk.io, identyfikuje zagrożone pakiety (zarówno bezpośrednie, jak i pośrednie zależności) i proponuje konkretne kroki naprawy. Obsługuje zarówno aktualizacje wersji, jak i zastępowanie nieobsługiwanych pakietów. Zawiera wbudowane reguły weryfikacji — wszystkie testy, sprawdzenie typów i build muszą przejść pomyślnie.

1. Udostępnij Claude'owi raport podatności z Snyk.io lub wymień konkretne CVE/CWE, które chcesz naprawić. Skill automatycznie się aktywuje, gdy wykryje wzmianki o lukach bezpieczeństwa w zależnościach npm.

2. Skill przeanalizuje raport i sklasyfikuje podatności na bezpośrednie (znajdujące się w package.json) i pośrednie (ściągnięte przez inne pakiety). Dla każdej luki wyodrębni nazwę pakietu, wersję, identyfikator CVE/CWE, poziom ważności i dostępną wersję naprawioną.

3. Sprawdź swój package.json i plik blokady, aby zrozumieć bieżące wersje i istniejące nadpisania. Skill może wyszukać dostępne naprawione wersje w rejestrze npm.

4. Zastosuj proponowane poprawki — dla bezpośrednich zależności aktualizuj wersje w package.json, dla pośrednich używaj mechanizmu nadpisywania. Skill zaleca używanie dokładnych wersji (bez prefiksu ^) w przypadku poprawek bezpieczeństwa.

5. Uruchom weryfikację: zainstaluj zależności, sprawdź typy, uruchom linter, zbuduj projekt i wykonaj testy. Wszystkie kroki muszą przejść pomyślnie.

6. Jeśli pakiet jest nieobsługiwany, rozważ jego zastąpienie alternatywą. Skill pomoże udokumentować powód zmiany w komentarzach kodu.