dependency health

SKILL.md

Systematic dependency management: security-first, batch remediation, policy-driven.

Dependencies are attack surface. Manage them systematically, not reactively.

❌ Ignoring security advisories: "We'll update later" ❌ One-at-a-time updates: 100 separate PRs for 100 dependencies ❌ Automatic merging: Dependabot auto-merge without testing ❌ Dependency pinning forever: Never updating to avoid breakage ❌ License ignorance: Not checking license compatibility ❌ No testing after updates: Assuming updates won't break anything

Metodología de gestión de dependencias que prioriza la seguridad con corrección por lotes, cumplimiento basado en políticas y aplicación automatizada. Utilícelo cuando existan vulnerabilidades de seguridad en las dependencias, la actualidad de las dependencias sea baja (paquetes obsoletos), se necesite cumplimiento de licencias o falte una gestión sistemática de las dependencias. Proporciona priorización de seguridad (vulnerabilidades críticas inmediatamente, alta en una semana, media en un mes), estrategia de corrección por lotes (actualizaciones compatibles en grupo, pruebas en conjunto, relaciones públicas únicas), marco de cumplimiento basado en políticas (políticas de seguridad, políticas de actualización, políticas de licencia) y herramientas de automatización para escaneo de vulnerabilidades, detección de actualizaciones y verificación de cumplimiento. Validado en meta-cc con aceleración 6x (9 horas manuales a 1,5 horas sistemáticas), 3 iteraciones, 88 % de transferibilidad entre administradores de paquetes (conceptos universales, las herramientas varían según el ecosistema). Fuente: zpankz/mcp-skillset.

Ver original