SkillProgramaçãoRevisão

Auditoria de Supply Chain

Audita a cadeia de suprimentos de dependências em busca de riscos - typosquatting, abandonware, atualizações maliciosas, incompatibilidade de licença e bloat transitivo. Use antes de releases importantes, ao adicionar novas dependências ou em higiene trimestral.

Ações
PerfilDev
ProfundidadeAlta
IdiomaInglês (skill original)
Objetivo

Em uma frase.

Encontrar riscos de dependências antes que causem dano e manter controles para detectar novos riscos. A skill cobre detecção de typosquatting, atividade de mantenedores, compatibilidade de licenças, geração de SBOM, análise transitiva e política de pinning.

Aplicação

Quando
faz sentido.

Usar
  • Antes de um release importante.
  • Após adicionar novas dependências.
  • Em higiene trimestral do grafo de dependências.
  • Após um incidente de segurança no ecossistema.
Não usar
Prompt

Instruções
para a IA.

Categorias de risco

A auditoria examina typosquatting (pacotes com nomes parecidos com os populares), abandonware (último commit há mais de 2 anos, issues acumuladas sem resposta), atualizações maliciosas (novo mantenedor repentino, código sem relação com o changelog, chamadas de rede ou acesso a arquivos adicionados), contas de registry comprometidas, incompatibilidade de licença (dependências GPL em produto MIT) e bloat transitivo (milhares de dependências indiretas para um pacote simples).

### SBOM e política de pinning

Gere um SBOM (CycloneDX ou SPDX) por build com ferramentas como syft e armazene junto com os releases para fins de conformidade. Mantenha o lockfile commitado, revise atualizações de versão major e, em casos críticos, faça pin por SHA ou hash para builds reprodutíveis.

### Processo de auditoria

1. Gere o SBOM.

2. Cruze com bancos de vulnerabilidades (OSV, GHSA, NVD). 3. Pontue o risco por pacote: severidade x probabilidade x uso. 4. Verifique padrões de typosquatting. 5. Audite licenças. 6. Recomende para cada achado: remover, substituir, atualizar ou aceitar com mitigação.

A armadilha mais perigosa é o auto-merge de PRs do Dependabot/Renovate sem revisão - exatamente o vetor de atualizações maliciosas.
Constelação

Onde
ela vive.

Execução

Como usar
com IA.

  1. 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
  2. 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
  3. 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o SKILL.md em .claude/skills/ (Claude Code) ou anexe o arquivo no Claude (claude.ai).