依赖管理Skill：包管理与版本检查

一、依赖管理Skill的设计

依赖管理Skill是项目中不可或缺的基础设施，它能够自动检查和管理项目依赖、发现过时或有安全漏洞的依赖包、确保依赖版本在团队中保持一致。在大型项目中，依赖膨胀和版本冲突是常见痛点，一个好的依赖管理Skill可以显著提升开发效率和项目稳定性。

设计依赖管理Skill时，需要覆盖以下几个核心维度：依赖清单的正确性、版本的最新性、安全漏洞的零容忍、以及传递依赖的兼容性。通过将这些检查自动化，开发团队可以在早期发现问题，避免依赖问题累积到生产环境。

二、依赖清单分析

依赖清单分析是依赖管理的基础步骤。Skill需要能够读取项目中多种格式的依赖配置文件，包括但不限于 Node.js 项目的 package.json、Python 项目的 requirements.txt 或 pyproject.toml、Go 项目的 go.mod、Java 项目的 pom.xml、以及 Rust 项目的 Cargo.toml。

Skill在分析依赖清单时，需要区分直接依赖和传递依赖。直接依赖是项目代码中显式引用的包，而传递依赖是这些包所依赖的其他包。通过分析依赖用途，Skill可以帮助开发者识别出那些已经不再使用、可以安全移除的冗余依赖，从而精简项目体积。

# 依赖检查Skill
- name: 检查依赖
  command: deps
  prompt: |
    分析项目的依赖状态：
    1. 读取依赖配置文件
    2. 检查过期的依赖包
    3. 检查已知安全漏洞
    4. 分析依赖冲突
    5. 提供更新建议

三、版本更新建议

版本更新是依赖管理的核心职责之一。Skill需要能够识别哪些依赖包有可用的更新版本，并区分语义化版本控制（SemVer）中的 major、minor 和 patch 更新类型。Patch 更新通常包含 bug 修复，应该尽快采纳；Minor 更新添加新功能但不破坏向后兼容性；Major 更新则可能包含破坏性变更（breaking changes），需要仔细评估。

对于 major 版本的更新，Skill 应当分析 breaking changes 的影响范围，识别出项目中哪些部分的代码需要相应调整。同时，Skill 还应该考虑更新的风险收益比——某些依赖可能已经很稳定，没有升级的必要，而另一些依赖则因为安全原因必须尽快升级。

版本更新优先级：安全修复 > 严重 bug 修复 > 功能增强 > 常规更新。建议定期（每周或每两周）执行一次全面的依赖版本检查，确保项目始终运行在安全且高效的依赖版本上。

四、安全漏洞扫描

安全漏洞扫描是依赖管理Skill中最重要的功能之一。Skill需要接入已知安全漏洞数据库（如 CVE、NVD、GitHub Advisory Database 等），将项目中的依赖版本与漏洞数据库进行比对，识别出受影响的依赖包和版本范围。

当发现安全漏洞时，Skill应当提供以下信息：漏洞编号（CVE ID）、漏洞严重程度（CVSS 评分）、受影响版本范围、漏洞描述、以及推荐的修复方案（如升级到特定版本或使用替代包）。对于高危漏洞，Skill还应该自动标记为阻塞性问题，阻止含有漏洞的代码被部署到生产环境。

安全警示：即使依赖包只是传递依赖（间接引用），其中的安全漏洞同样会对项目造成威胁。请确保依赖管理Skill能够穿透到传递依赖的漏洞检查，而不是只检查直接依赖。

五、依赖冲突检测

在大型项目中，多个依赖包可能依赖于同一个底层库的不同版本，从而产生依赖冲突。依赖管理Skill需要能够分析整个依赖树，找出所有版本冲突的依赖，并明确指出哪些包需要哪些版本。

解决依赖冲突的常见策略包括：使用依赖解析工具的自动合并功能（如 npm dedupe）、手动升级或降级特定的依赖版本、使用覆盖（override）功能强制指定版本、或者重构代码以消除对冲突依赖的依赖。Skill应当能够为每种冲突场景提供具体的解决方案建议。

最佳实践：建议在 CI/CD 流水线中集成依赖冲突检测步骤，在每次 Pull Request 时自动执行依赖检查，确保新的依赖引入不会破坏现有的版本兼容性。

六、过期依赖识别

过期依赖是指那些已经被上游维护者弃用（deprecated）、停止维护（unmaintained）、或者被社区标记为不再推荐的依赖包。使用过期依赖会带来安全风险、兼容性问题和长期维护负担。Skill需要维护一个过期依赖的识别机制，主动提醒开发者替换这些依赖。

识别过期依赖的途径包括：读取 npm/yarn 的弃用警告、检查 GitHub 仓库的归档状态、分析依赖包的发布频率和最近更新时间、以及参考社区的可替代依赖推荐列表。当发现过期依赖时，Skill应当提供功能对等的替代包建议，并评估迁移的工作量。

七、依赖变更影响分析

当依赖版本发生变更时，Skill需要能够自动分析变更的影响范围。这包括：识别哪些模块直接或间接使用了该依赖、评估 API 签名是否发生变化、检查是否有被移除的功能或方法、以及预测测试套件中可能受到影响的测试用例。

通过结合项目的代码库结构分析和依赖图，Skill可以生成一份详细的变更影响报告，帮助开发者在执行更新前充分了解风险。报告中应包含受影响文件的列表、变更的 API 差异对比、以及推荐的回归测试范围。

八、Skill 实现示例

以下是一个完整的依赖管理Skill配置文件示例，展示了如何将上述所有功能整合到一个可执行的 Skill 中：

# deps-manager.yml — 依赖管理Skill完整配置
name: 依赖管理器
version: 1.0.0
description: 自动化依赖管理和安全检查

commands:
  - name: 检查所有依赖
    command: deps:check
    prompt: |
      执行全面的依赖检查：
      1. [check] 读取依赖配置文件
      2. [check] 比对最新版本
      3. [check] 扫描安全漏洞
      4. [check] 检测版本冲突
      5. [check] 识别过期依赖
      6. [check] 分析变更影响
      7. [report] 生成检查报告

  - name: 更新依赖
    command: deps:update
    prompt: |
      执行依赖更新操作：
      1. 识别所有可更新的依赖
      2. 区分安全更新和功能更新
      3. 逐项执行版本升级
      4. 运行测试套件验证
      5. 回滚失败的更新

  - name: 依赖审计
    command: deps:audit
    prompt: |
      执行安全审计：
      1. 扫描所有依赖层（含传递依赖）
      2. 查询 CVE 漏洞数据库
      3. 评估漏洞严重程度
      4. 生成安全修复建议
      5. 标记阻塞性问题

九、最佳实践与注意事项

在实施依赖管理Skill时，有以下几个关键的最佳实践值得关注：

锁定版本文件：始终使用 lock 文件（如 package-lock.json、poetry.lock）确保团队成员和 CI 环境使用完全一致的依赖版本。
定期审计：将依赖审计作为常规开发流程的一部分，建议在每次发布前执行完整的依赖安全检查。
最小依赖原则：只引入项目真正需要的依赖，避免"顺手安装"导致的依赖膨胀。
关注传递依赖：某些安全漏洞和兼容性问题隐藏在传递依赖中，需要穿透检查。
自动化集成：将依赖检查集成到 CI/CD 流水线和 pre-commit hooks 中，实现自动化防守。

核心要点总结：优秀的依赖管理Skill不仅仅是检查版本更新的工具，更是项目健康度的守护者。它通过自动化手段覆盖依赖清单分析、版本更新、安全扫描、冲突检测、过期识别和变更影响分析等全链路，帮助团队在早期发现并解决问题，显著降低技术债务积累的速度。