SkillProgramaçãoRevisão
Auditoria de Supply Chain
Audita a cadeia de suprimentos de dependências em busca de riscos - typosquatting, abandonware, atualizações maliciosas, incompatibilidade de licença e bloat transitivo. Use antes de releases importantes, ao adicionar novas dependências ou em higiene trimestral.
Ações
PerfilDev
ProfundidadeAlta
IdiomaInglês (skill original)
Objetivo
Em uma frase.
Encontrar riscos de dependências antes que causem dano e manter controles para detectar novos riscos. A skill cobre detecção de typosquatting, atividade de mantenedores, compatibilidade de licenças, geração de SBOM, análise transitiva e política de pinning.
Aplicação
Quando
faz sentido.
Usar
- Antes de um release importante.
- Após adicionar novas dependências.
- Em higiene trimestral do grafo de dependências.
- Após um incidente de segurança no ecossistema.
Não usar
- Apenas varredura de CVEs - use dependency-auditor ou scanning-secrets-and-supply-chain.
- Segurança de workflows de CI - use secure-workflow-guide.
- Modelagem de ameaças no nível da aplicação - use applying-stride-threat-analysis.
Prompt
Instruções
para a IA.
Categorias de risco
A auditoria examina typosquatting (pacotes com nomes parecidos com os populares), abandonware (último commit há mais de 2 anos, issues acumuladas sem resposta), atualizações maliciosas (novo mantenedor repentino, código sem relação com o changelog, chamadas de rede ou acesso a arquivos adicionados), contas de registry comprometidas, incompatibilidade de licença (dependências GPL em produto MIT) e bloat transitivo (milhares de dependências indiretas para um pacote simples).
### SBOM e política de pinning
Gere um SBOM (CycloneDX ou SPDX) por build com ferramentas como syft e armazene junto com os releases para fins de conformidade. Mantenha o lockfile commitado, revise atualizações de versão major e, em casos críticos, faça pin por SHA ou hash para builds reprodutíveis.
### Processo de auditoria
1. Gere o SBOM.
2. Cruze com bancos de vulnerabilidades (OSV, GHSA, NVD).
3. Pontue o risco por pacote: severidade x probabilidade x uso.
4. Verifique padrões de typosquatting.
5. Audite licenças.
6. Recomende para cada achado: remover, substituir, atualizar ou aceitar com mitigação.A armadilha mais perigosa é o auto-merge de PRs do Dependabot/Renovate sem revisão - exatamente o vetor de atualizações maliciosas.
Constelação
Onde
ela vive.
Bundles que incluem
Execução
Como usar
com IA.
- 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
- 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
- 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o
SKILL.mdem.claude/skills/(Claude Code) ou anexe o arquivo no Claude (claude.ai).