security-scan

Resolve npm dependency vulnerabilities detected by security scans.

1. Udostępnij Claude'owi raport podatności z Snyk.io lub wymień konkretne CVE/CWE, które chcesz naprawić. Skill automatycznie się aktywuje, gdy wykryje wzmianki o lukach bezpieczeństwa w zależnościach npm.

2. Skill przeanalizuje raport i sklasyfikuje podatności na bezpośrednie (znajdujące się w package.json) i pośrednie (ściągnięte przez inne pakiety). Dla każdej luki wyodrębni nazwę pakietu, wersję, identyfikator CVE/CWE, poziom ważności i dostępną wersję naprawioną.

3. Sprawdź swój package.json i plik blokady, aby zrozumieć bieżące wersje i istniejące nadpisania. Skill może wyszukać dostępne naprawione wersje w rejestrze npm.

4. Zastosuj proponowane poprawki — dla bezpośrednich zależności aktualizuj wersje w package.json, dla pośrednich używaj mechanizmu nadpisywania. Skill zaleca używanie dokładnych wersji (bez prefiksu ^) w przypadku poprawek bezpieczeństwa.

5. Uruchom weryfikację: zainstaluj zależności, sprawdź typy, uruchom linter, zbuduj projekt i wykonaj testy. Wszystkie kroki muszą przejść pomyślnie.

6. Jeśli pakiet jest nieobsługiwany, rozważ jego zastąpienie alternatywą. Skill pomoże udokumentować powód zmiany w komentarzach kodu.