name: 依赖分析 description: 分析项目依赖以发现安全漏洞、过期包和升级路径。在审计依赖或计划升级时使用。
依赖分析技能
目的
对项目依赖进行系统性分析,以确保安全性和维护性。
使用场景
- 安全审计
- 添加新依赖之前
- 计划版本升级
- 定期维护检查
分析过程
步骤1:识别包管理器
从文件中检测:
package-lock.json/yarn.lock/pnpm-lock.yaml→ Node.jsrequirements.txt/Pipfile.lock/poetry.lock→ Pythongo.sum→ Go
步骤2:运行安全审计
执行相应命令:
# Node.js
npm audit --json || yarn audit --json
# Python(如果安装了 pip-audit)
pip-audit --format json
# Go
govulncheck ./...
步骤3:检查过期包
# Node.js
npm outdated --json
# Python
pip list --outdated --format json
# Go
go list -u -m all
步骤4:分析结果
分类发现的问题:
- 严重:已知利用的安全漏洞
- 高:安全问题或主要版本落后
- 中等:次要版本落后或已弃用
- 低:补丁版本落后
输出格式
存储位置
保存到:docs/research/dependency-audit-{date}.md