Skill

dependency-update

Reviews project dependencies for outdated versions, CVEs, end-of-life status in Node/npm, Python/pip, Rust/Cargo projects, and proposes safe updates with risk evaluation and breaking change checks.

Node

Python

Rust

security

code-quality

npx claudepluginhub 686f6c61/alfred-dev --plugin alfred-dev

Tool Access

This skill uses the workspace's default tool permissions.

Preview

Este skill revisa las dependencias del proyecto para detectar versiones desactualizadas, vulnerabilidades conocidas (CVEs) y paquetes en end-of-life. No se trata de actualizar todo ciegamente: cada actualización se evalúa por riesgo, impacto y necesidad antes de proponerla.

SKILL.md

Similar Skills

dependency-updater

Scans JS, Python, Go, Rust, Java package files for outdated dependencies, summarizes changelogs, detects breaking changes and vulnerabilities, generates prioritized update reports.

devkit

dependency-update-bot

172

Scans npm, pip, Cargo, Go, Ruby projects for outdated packages, runs CVE audits, summarizes changelogs with Gemini, opens PRs per risk group (patch/minor/major).

3 files

opendirectory-gtm-skills

memstack-security-dependency-audit

307

Scans project dependencies for vulnerabilities, outdated packages, abandoned libraries, and supply chain risks across npm/Yarn/pnpm, pip/Poetry/Pipenv, Cargo, Go, and Bundler ecosystems.

memstack

Stats

Stars47

Forks6

Last CommitMar 13, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

Actualización segura de dependencias

Resumen

Las dependencias desactualizadas son una de las principales fuentes de vulnerabilidades. Pero una actualización precipitada puede romper el proyecto. El equilibrio es actualizar lo necesario, cuando es seguro hacerlo.

Proceso

Paso 1: inventariar dependencias

Según el runtime del proyecto:

Node/npm:

npm outdated
npm audit

Python/pip:

pip list --outdated
pip-audit

Rust/Cargo:

cargo outdated
cargo audit

Paso 2: clasificar por urgencia

Categoría	Descripción	Acción
Crítica	CVE con severidad alta/crítica en producción	Actualizar inmediatamente
Alta	CVE con severidad media o dependencia en end-of-life	Planificar actualización esta semana
Media	Versión major desactualizada sin CVE conocido	Evaluar breaking changes y planificar
Baja	Versión minor/patch desactualizada sin CVE	Actualizar cuando sea conveniente

Paso 3: evaluar cada actualización

Para cada dependencia que necesite actualización:

Breaking changes: leer el changelog entre la versión actual y la nueva. Hay breaking changes?
Compatibilidad: es compatible con el resto del stack? (versión de Node, otras dependencias).
Tamaño del cambio: minor/patch suelen ser seguros. Major requiere más cuidado.
Tests: hay tests que cubran el uso de esta dependencia? Si no, escribirlos antes de actualizar.

Paso 4: proponer el plan de actualización

Generar un informe con:

Resumen: número de dependencias desactualizadas por categoría.
Actualizaciones críticas: lista con CVE, severidad y versión objetivo.
Actualizaciones recomendadas: lista con razón y riesgo estimado.
Actualizaciones pospuestas: las que no merece la pena actualizar ahora y por qué.

Paso 5: ejecutar las actualizaciones

Si el usuario aprueba:

Actualizar una dependencia a la vez (no todas de golpe).
Ejecutar los tests después de cada actualización.
Si los tests fallan, investigar y corregir antes de continuar.
Commitear cada actualización por separado para facilitar rollback.

Qué NO hacer

No actualizar todas las dependencias de golpe. Si algo se rompe, no sabrás qué lo causó.
No ignorar las dependencias de desarrollo. Pueden inyectar código en el build.
No forzar actualizaciones a major version sin evaluar breaking changes.
No descartar CVEs por ser de severidad baja: el contexto del proyecto puede elevar su impacto.

Clarificación

Este skill ejecuta actualizaciones concretas. Para auditar el estado de las dependencias primero, usar dependency-audit.