Claude Info
Безопасность

Аудитор безопасности

wrsmith108/claude-skill-security-auditor

Claude Code скилл для автоматического аудита зависимостей через npm audit. Классифицирует уязвимости по критичности, извлекает CVE-идентификаторы, генерирует markdown-отчёты с командами исправления и поддерживает интеграцию в CI/CD.

Установка

terminal
bash
npx tsx scripts/index.ts [options]

README

Security Auditor

Скилл Claude Code для проведения структурированных аудитов безопасности с actionable-планами устранения уязвимостей.

Установка

Как скилл Claude Code

bash
# Клонировать в директорию скиллов Claude
git clone https://github.com/wrsmith108/claude-skill-security-auditor.git ~/.claude/skills/security-auditor

Автономное использование

npx tsx scripts/index.ts [options]

Фразы-триггеры

Скилл активируется при упоминании:

  • «npm audit»
  • «security vulnerability»
  • «dependency vulnerability»
  • «CVE»
  • «security check»
  • «audit dependencies»
  • «check vulnerabilities»

Возможности

  • Выполнение npm audit --json и разбор структурированного вывода
  • Классификация уязвимостей по критичности (critical, high, medium, low)
  • Извлечение CVE-идентификаторов, затронутых версий и версий с исправлением
  • Разграничение прямых и транзитивных зависимостей
  • Генерация markdown-отчётов с командами устранения
  • Поддержка принятия рисков через security-exceptions.json
  • CI-совместимые коды завершения

Использование

Базовый аудит

npx tsx scripts/index.ts

Вывод в формате JSON

npx tsx scripts/index.ts --json

Завершение с ошибкой при уязвимостях уровня High и выше (для CI)

npx tsx scripts/index.ts --fail-on high

Завершение с ошибкой только при Critical

npx tsx scripts/index.ts --fail-on critical

Аудит конкретного проекта

npx tsx scripts/index.ts --cwd /path/to/project

Принятие рисков

Создайте файл security-exceptions.json в корне проекта, чтобы зафиксировать принятые известные риски:

json
{
  "exceptions": [
    {
      "id": "GHSA-xxxx-xxxx-xxxx",
      "reason": "Not exploitable in our usage context",
      "expires": "2025-06-01",
      "approvedBy": "security-team"
    }
  ]
}

Принятые уязвимости отслеживаются в отчёте отдельно.

Формат вывода

Скилл генерирует markdown-отчёт, включающий:

  • Сводную таблицу по уровням критичности
  • Детальный разбор проблем уровня High и выше
  • Анализ транзитивных зависимостей
  • Команды устранения, готовые к копированию
  • Список принятых рисков (при наличии)

Коды завершения

КодЗначение
0Уязвимостей выше порога не обнаружено
1Найдены уязвимости выше порога (при использовании --fail-on)
2Ошибка при выполнении аудита

Интеграция с CI

yaml
- name: Security Audit
  run: npx tsx scripts/index.ts --fail-on high

Требования

  • Установлены Node.js и npm
  • Наличие валидного package.json в целевой директории
  • Опционально: package-lock.json для точного аудита

История изменений

1.0.1 (2026-02-10)

  • Исправлено: захардкоженные пути ~/.claude/skills/ заменены на относительные для переносимости между различными местами установки

Лицензия

MIT

Связанные скиллы

  • ci-doctor — диагностика проблем CI/CD-пайплайна
  • version-sync — синхронизация версий Node.js
  • flaky-test-detector — обнаружение нестабильных тестов
  • docker-optimizer — оптимизация Dockerfile

Похожие скиллы

pegasi-ai/reins

Reins

383
Sushegaad/Claude-Skills-Governance-Risk-and-Compliance

Управление, риски и соответствие (GRC)

334
Eyadkelleh/awesome-claude-skills-security

Набор инструментов безопасности

187
agamm/claude-code-owasp

OWASP Security для Claude Code

143
Аудитор безопасности — Claude Skill от wrsmith108 — claude-info.ru