首页龙虾技能列表 › Dependency Guard — 依赖守护

🛡️ Dependency Guard — 依赖守护

v1.0.1

当任务涉及添加、升级、移除或审查软件依赖时使用,代理在更改 package.json 或锁文件前会执行基于 Socket 的供应链安全检查。优先使用 MCP depscore,否则使用捆绑的 Socket CLI 辅助脚本。当风险信号较弱时停止并建议替代方案或人工审查。

0· 83·0 当前·0 累计
by @tuthan (Hung Vo)·MIT-0
下载技能包
License
MIT-0
最后更新
2026/4/2
安全扫描
VirusTotal
Pending
查看报告
OpenClaw
安全
high confidence
该技能的要求、说明和包含的脚本与其声明的应用 Socket 依赖防护的目的相一致。
评估建议
该技能似乎能完成其声称的功能:运行 Socket CLI(或 MCP depscore)生成依赖审查报告。在安装或调用之前:1) 确保安装的 Socket CLI 来自官方来源(npm 包 'socket' 或组织审核的二进制文件);2) 优先使用 MCP depscore 或 CI 环境变量(SOCKET_SECURITY_API_TOKEN),而不是将私钥粘贴到交互式提示中;3) 注意该技能可能读取仓库清单并在 tmp/ 下写入临时报告文件;4) 注意文档/示例引用了多个环境变量(SOCKET_SECURITY_API_TOKEN vs SOCKET_SECURITY_API_KEY vs GH_API_TOKEN)— 确认您的环境需要哪些令牌,避免向不受信任的提示暴露密钥。如果这三点可接受,该技能与其目的相符且合适。...
详细分析 ▾
用途与能力
该技能明确是基于 Socket 的依赖审查辅助工具,并声明 socket CLI 为必需;这与描述和工作流程一致。包含的引用和决策逻辑与批准/阻止依赖更改的声明目标相匹配。
指令范围
运行时指令指示代理使用 MCP depscore 或 socket CLI,并运行捆绑的 scripts/check_dependency.sh,该脚本仅调用 socket CLI 并读取本地清单/报告。这在范围内。注意事项:SKILL.md 和示例引用了环境变量(SOCKET_SECURITY_API_TOKEN、SOCKET_SECURITY_API_KEY、GH_API_TOKEN)和交互式 `socket login` 流程,这些是可选的但很敏感;这些环境变量未在 requires.env 中声明。
安装机制
未提供安装规范(仅带有小辅助脚本的指令)。唯一的运行时依赖是 socket CLI,该技能文档记录通过 npm 安装;技能包中不发生外部下载或任意归档提取。
凭证需求
该技能默认不需要凭证,这是合理的。然而 SKILL.md 和示例提到了几个可选令牌(SOCKET_SECURITY_API_TOKEN 用于无头 CLI 认证,SOCKET_SECURITY_API_KEY 用于 GitHub 集成,GH_API_TOKEN)— 这些对 CI 或 Socket 集成是合理的,但未在 requires.env 中声明,且示例使用的 Socket 环境变量名称与 SKILL.md 不同。这种不匹配是无害的,但值得注意,以免用户意外将密钥提供到错误的位置。
持久化与权限
该技能不是始终开启的,也不请求系统级权限。它不修改其他技能或系统设置。仅在调用时运行辅助脚本和 socket CLI。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv1.0.12026/4/1

- 在 SKILL.md 中添加了版本字段和前置条件;更新了元数据以声明必需的 `socket` CLI。 - 扩展了认证说明,包括对 `SOCKET_SECURITY_API_TOKEN` 和 GitHub Actions 集成的明确支持。 - 移除了 12 个文件:文档、代理配置、辅助脚本和所有测试脚本。 - 简化了仓库,仅保留必要的文档和示例工作流。

● Pending

安装命令 点击复制

官方npx clawhub@latest install dependency-guard
镜像加速npx clawhub@latest install dependency-guard --registry https://cn.clawhub-mirror.com

技能文档

当依赖更改涉及 npmpnpmyarn、Python 包或 Socket 支持的其他包生态系统时,请使用此技能。

前置条件

  • socket CLI 必须已安装并在 PATH 中(npm install -g socket)。
  • CLI 审查需要身份验证。请参阅下面的身份验证部分。

工作流程

  • 确认正在提出的确切依赖更改。
  • 检查该功能是否可以使用标准库或现有项目依赖来实现。
  • 如果主机代理提供 MCP depscore,则优先使用它。
  • 否则运行 scripts/check_dependency.sh [version]
  • 应用 references/policy.md 中的策略。
  • 应用 references/decision-matrix.md 中的决策规则。
  • 在进行更改之前,报告:
- 为什么需要该包 - 是否存在现有替代方案 - Socket 报告了什么 - 是否存在安装脚本、危险功能或传递风险
  • 如果决策是 allow_with_warning,在进行更改之前清楚地呈现警告。如果决策是 block_pending_human_reviewblock,停止并建议:
- 更安全的依赖 - 无依赖的实现 - 明确的人工审查

身份验证

支持三种身份验证路径,按优先级排序:

  • MCP depscore — 无需本地凭证;通过主机代理的 MCP 连接工作。
  • socket login — 交互式 CLI 登录;本地存储认证。
- 如果 CLI 支持,在令牌提示符下按 Enter 键将使用受限的公共访问。 - 要使用私钥,请在提示符下粘贴它。
  • SOCKET_SECURITY_API_TOKEN 环境变量 — 为 CI 或无头环境设置此变量。
安全提示: 切勿将私钥粘贴到代理提示中。请改用环境变量或 socket login
CI 注意: GitHub Actions 工作流使用 SOCKET_SECURITY_API_KEY(单独的 GitHub 集成密钥),而不是 SOCKET_SECURITY_API_TOKEN。请参阅 examples/github/dependency-guard.yml

报告约定

向用户呈现包审查时,请使用 references/examples.md 中的简短响应模板。

参考资料

  • 阅读 references/policy.md 获取权威防护策略。
  • 阅读 references/decision-matrix.md 获取允许/阻止标准。
  • 阅读 references/examples.md 获取面向用户的审查示例。

注意事项

  • 保持 SKILL.md 简洁;不要在此处复制完整策略。
  • OpenClaw 和 ClawHub 期望 metadata 是 frontmatter 中的单行 JSON 对象,因此请保持 OpenClaw 元数据紧凑。
  • frontmatter 中的 version 字段是唯一真实来源;使用 publish_clawhub.sh --bump patch|minor|major 自动递增。
  • 不要假设系统级包装器强制或 shell 补全设置是理想的;保持 CLI 设置最小化。
  • 如果 Socket 工具不可用,请在添加依赖之前要求人工审查。
  • 一起审查清单和锁文件更改。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制

免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制

了解定制服务