名称: check-deps 描述: 检查依赖项中的已知CVE和安全漏洞 参数提示: “[–npm|–pip|–dotnet|–cargo|–all]” 允许工具: Task
检查依赖命令
分析项目依赖项中的已知漏洞和安全问题。
用法
/security:check-deps # 自动检测并检查所有生态系统
/security:check-deps --npm # 仅检查npm依赖
/security:check-deps --pip # 仅检查Python依赖
/security:check-deps --dotnet # 仅检查.NET依赖
/security:check-deps --cargo # 仅检查Rust依赖
/security:check-deps --all # 显式检查所有生态系统
执行
委托给dependency-checker代理,使用以下提示:
如果没有参数或--all:
“分析此项目的依赖项中的已知漏洞。自动检测使用的包生态系统(npm、pip、.NET、Rust等),并运行适当的安全审计。生成依赖安全报告,包括CVE详细信息、CVSS评分、修复可用性和优先级修复建议。”
如果--npm参数:
“使用npm审计分析npm/Node.js依赖项中的已知漏洞。生成依赖安全报告,包括CVE详细信息、CVSS评分、修复可用性和优先级修复建议,包括升级路径和覆盖选项。”
如果--pip参数:
“使用pip-audit分析Python依赖项中的已知漏洞。生成依赖安全报告,包括CVE详细信息、CVSS评分、修复可用性和优先级修复建议。”
如果--dotnet参数:
“使用dotnet list package --vulnerable分析.NET依赖项中的已知漏洞。生成依赖安全报告,包括CVE详细信息、CVSS评分、修复可用性和优先级修复建议。”
如果--cargo参数:
“使用cargo audit分析Rust依赖项中的已知漏洞。生成依赖安全报告,包括CVE详细信息、CVSS评分、修复可用性和优先级修复建议。”
输出
dependency-checker代理生成报告,包括:
- 按严重性(关键/高/中/低)总结表格,包含可修复计数
- 每个漏洞的详细CVE信息
- 受影响依赖路径(直接与传递)
- 修复计划,包括升级建议
- 供应链风险因素(废弃包、域名劫持等)