🔒 Sécurité

dependency-audit

Audit de sécurité des dépendances — détection de vulnérabilités connues, mises à jour critiques et gestion du cycle de vie des packages.

⚡ Installation & lancement en 1 commande

Copiez-collez dans votre terminal : le skill s'installe dans ~/.claude/skills et Claude Code se lance directement dessus.

macOS / Linux
curl -fsSL https://raw.githubusercontent.com/khalilbenaz/claude-skills-collection/main/install.sh | sh -s -- dependency-audit --launch
Windows (PowerShell)
iex "& { $(iwr -useb https://raw.githubusercontent.com/khalilbenaz/claude-skills-collection/main/install.ps1) } dependency-audit -Launch"

🚀 Déjà installé ?

claude "/dependency-audit"

Ou tapez /dependency-audit dans une session Claude Code, ou décrivez simplement votre besoin — le skill se déclenche automatiquement via le skill-router.

🔑 Déclencheurs automatiques

Le skill s'active automatiquement quand votre demande contient :

audit dépendancesvulnérabilité npmCVEdépendance vulnérablenpm auditdotnet auditsupply chain securitydependabot

📦 Installation manuelle

git clone https://github.com/khalilbenaz/claude-skills-collection.git cp -r claude-skills-collection/security-skills/dependency-audit ~/.claude/skills/

Source : security-skills/dependency-audit

📖 Manuel

Audit de Sécurité des Dépendances

Workflow

  1. Scanner : identifier les vulnérabilités connues (CVE) dans les dépendances.
  2. Évaluer : prioriser par sévérité (critique > haute > moyenne > basse).
  3. Corriger : mettre à jour, patcher ou remplacer.
  4. Automatiser : CI/CD, Dependabot, alertes.

Outils par écosystème

ÉcosystèmeOutil natifOutil avancé
.NETdotnet list package --vulnerableSnyk, OWASP Dependency-Check
npmnpm auditSnyk, Socket.dev
Pythonpip-auditSafety, Snyk
GogovulncheckSnyk
Rustcargo audit

Commandes d'audit

.NET

# Lister les packages vulnérables
dotnet list package --vulnerable --include-transitive

# Format JSON pour CI
dotnet list package --vulnerable --format json

# Mettre à jour un package spécifique
dotnet add package PackageName --version X.Y.Z

npm

# Audit complet
npm audit

# Audit avec fix automatique (non-breaking)
npm audit fix

# Rapport JSON pour CI
npm audit --json

# Fix incluant les major versions (attention !)
npm audit fix --force

Python

# Avec pip-audit
pip-audit
pip-audit --fix
pip-audit -r requirements.txt

# Avec safety
safety check -r requirements.txt

Intégration CI/CD

GitHub Actions

name: Security Audit
on:
  schedule:
    - cron: '0 8 * * 1'  # Chaque lundi à 8h
  pull_request:

jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: .NET Audit
        run: |
          dotnet restore
          dotnet list package --vulnerable --include-transitive 2>&1 | tee audit.txt
          if grep -q "has the following vulnerable packages" audit.txt; then
            echo "::error::Vulnérabilités détectées"
            exit 1
          fi

      - name: npm Audit
        working-directory: ./frontend
        run: npm audit --audit-level=high

Dependabot

# .github/dependabot.yml
version: 2
updates:
  - package-ecosystem: "nuget"
    directory: "/"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 10
    labels: ["dependencies", "security"]
    reviewers: ["team-security"]

  - package-ecosystem: "npm"
    directory: "/frontend"
    schedule:
      interval: "weekly"

Processus de correction

SévéritéSLA de correctionAction
Critique (CVSS 9-10)24 heuresPatch immédiat, hotfix si nécessaire
Haute (CVSS 7-8.9)7 joursInclure dans le prochain sprint
Moyenne (CVSS 4-6.9)30 joursPlanifier la mise à jour
Basse (CVSS 0-3.9)90 joursInclure dans la maintenance

Règles