Skill

dependency-strategy

Audits project dependencies globally: inventories direct/transitive deps with tools like npm/pip/cargo audit, evaluates risks via matrix, plans actions (update/replace/eliminate), sets update policies.

Node

Python

npx claudepluginhub 686f6c61/alfred-dev --plugin alfred-dev

Tool Access

This skill uses the workspace's default tool permissions.

Preview

El usuario quiere evaluar, auditar o planificar la gestion de dependencias del proyecto. Este skill proporciona un marco estructurado para tomar decisiones informadas sobre que dependencias incorporar, cuales actualizar y cuales retirar.

SKILL.md

Similar Skills

audit-dependencies

Audits project dependencies for bloat, unused packages, security risks, supply-chain issues, and upgrades by building import graphs and verifying call sites in npm, pip, Cargo, Go, Ruby projects.

claudekit

dependency-audit

Audits project dependencies for CVEs, outdated versions, incompatible licenses, and abandoned packages using npm audit, pip-audit, cargo audit, govulncheck, composer audit. Blocks releases on critical/high vulns.

alfred-dev

dependency-management-deps-audit

682

Audits project dependencies for vulnerabilities, licensing issues, outdated packages, and supply chain risks, providing prioritized remediation strategies.

1 file

rmyndharis-antigravity-skills

Stats

Stars53

Forks5

Last CommitMar 13, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

Estrategia de dependencias

Nota: Este skill define la estrategia global de dependencias. Para auditar vulnerabilidades puntuales, usar dependency-audit. Para aplicar actualizaciones concretas, usar dependency-update.

Resumen

Las dependencias son una de las mayores fuentes de riesgo en un proyecto de software: vulnerabilidades de seguridad, licencias incompatibles, abandonware y bloat innecesario. En entornos corporativos, cada dependencia es un contrato implicito de mantenimiento. Este skill ayuda a gestionar ese riesgo de forma sistematica.

Proceso

Fase 1: Inventario (security-officer)

Listar todas las dependencias directas y transitivas del proyecto.
Para cada dependencia, recopilar:
- Version actual vs ultima version disponible.
- Licencia (MIT, Apache-2.0, GPL, etc.).
- Ultimo commit/release (actividad del mantenedor).
- Vulnerabilidades conocidas (CVEs abiertos).
- Tamano del paquete (impacto en bundle/build).

Herramientas: npm audit, pip audit, cargo audit, gh api advisories segun el ecosistema.

Artefacto: tabla de inventario de dependencias.

Fase 2: Evaluacion de riesgo

Clasificar cada dependencia en una matriz de riesgo:

Criterio	Bajo	Medio	Alto
CVEs abiertos	0	1-2 (no criticos)	Cualquier critico
Licencia	MIT, Apache-2.0, ISC	BSD, MPL	GPL, AGPL, sin licencia
Actividad	Release en ultimos 6 meses	Release en ultimo ano	Sin releases en >1 ano
Alternativas	Sin alternativa viable	Alternativas parciales	Multiples alternativas mejores

Fase 3: Plan de accion

Para cada dependencia de riesgo medio o alto, definir una accion:

Accion	Cuando aplicar
Actualizar	Version desactualizada con parches disponibles
Reemplazar	Dependencia abandonada con alternativas mejores
Eliminar	Dependencia innecesaria (funcionalidad duplicada o infrautilizada)
Aceptar riesgo	Sin alternativa, impacto controlado, mitigacion aplicada
Fijar version	Dependencia estable que no conviene actualizar automaticamente

Fase 4: Politica de actualizaciones

Establecer una politica de actualizaciones para el proyecto:

Patch versions: actualizar automaticamente (Dependabot, Renovate).
Minor versions: revisar changelog, actualizar en sprint de mantenimiento.
Major versions: evaluar breaking changes, planificar migracion.
Dependencias de seguridad: actualizar inmediatamente, sin esperar a sprint.

Fase 5: Documentacion

Registrar las decisiones de dependencias en la memoria del proyecto usando memory_log_decision:

Dependencias rechazadas y motivo.
Dependencias aceptadas con riesgo y mitigacion.
Politica de actualizaciones acordada.

Artefacto: documento de estrategia de dependencias + decisiones registradas en memoria.

Criterios de exito

Existe un inventario completo de dependencias directas y transitivas con su estado actual.
Cada dependencia tiene una clasificacion de riesgo basada en criterios objetivos.
Las dependencias de riesgo medio y alto tienen una accion definida (actualizar, reemplazar, eliminar o aceptar riesgo con justificacion).
La politica de actualizaciones esta documentada y diferenciada por tipo de version (patch, minor, major).
Las decisiones de dependencias quedan registradas en la memoria del proyecto.

Que NO hacer

No definir una politica de actualizaciones sin evaluar el riesgo de cada dependencia. Una politica generica de "actualizar todo" puede introducir breaking changes inesperados, mientras que "no actualizar nada" acumula deuda tecnica y vulnerabilidades. La politica debe estar informada por la evaluacion de riesgo individual.
No tratar todas las dependencias con la misma prioridad. Una dependencia de seguridad con CVEs criticos no puede esperar al proximo sprint de mantenimiento, del mismo modo que una dependencia estable sin cambios no necesita atencion urgente. La priorizacion debe reflejar el riesgo real de cada caso.