Skip to content
NeuralSkills
Sicherheit

Abhaengigkeiten-Audit

Abhaengigkeiten auf bekannte Schwachstellen, veraltete Versionen und Supply-Chain-Risiken pruefen.

Einsteiger Kostenlos Veroeffentlicht: 15. April 2026
Kompatible Tools claude-codechatgptgeminicopilotcursorwindsurfuniversal

Das Problem

Der eigene Code mag sicher sein, aber die Abhaengigkeiten sind es nicht unbedingt. Ein verwundbares Paket im Dependency Tree kann die gesamte Anwendung exponieren. Supply-Chain-Angriffe — boeswillige Pakete mit Tippfehler-Namen, kompromittierte Maintainer-Konten, versteckte Postinstall-Skripte — nehmen jedes Jahr zu. Man braucht eine Moeglichkeit, die Gesundheit der Abhaengigkeiten ueber npm audit hinaus zu bewerten.

Der Prompt

Pruefe die Abhaengigkeiten meines Projekts auf Sicherheit, Wartungsstatus und Supply-Chain-Risiken.

PAKETDATEI:
[package.json, requirements.txt, go.mod oder Gemfile hier einfuegen]

LOCK-DATEI (falls verfuegbar):
[relevante Abschnitte der package-lock.json, yarn.lock, etc.]

Analysiere jede Abhaengigkeit auf:

1. **Bekannte Schwachstellen** — CVEs oder Sicherheitshinweise?
2. **Wartungsstatus** — Letzte Veroeffentlichung, offene Issues, Maintainer-Aktivitaet
3. **Popularitaet & Vertrauen** — Download-Zahlen, GitHub-Stars, Firmen-Backing
4. **Supply-Chain-Risiko** — Typosquatting-Potenzial, exzessive transitive Deps, Postinstall-Skripte
5. **Versionsaktualitaet** — Wie weit hinter dem letzten stabilen Release?
6. **Redundanz** — Mehrere Pakete fuer die gleiche Aufgabe?
7. **Lizenz-Kompatibilitaet** — GPL oder restriktive Lizenzen, die mit dem Projekt kollidieren?

Liefere eine Risiko-Uebersichtstabelle und markiere alles, was sofortiges Handeln erfordert.
Schlage sicherere Alternativen fuer Hochrisiko-Abhaengigkeiten vor.

Beispielausgabe

## Abhaengigkeiten-Audit: 2 kritisch, 1 Warnung, 14 in Ordnung

| Paket           | Version | Aktuell | Risiko   | Problem                         |
|-----------------|---------|---------|----------|---------------------------------|
| lodash          | 4.17.20 | 4.17.21 | WARNUNG  | Bekannter Prototype-Pollution-CVE |
| express         | 4.18.2  | 4.21.0  | OK       | Stabil, gut gewartet            |
| event-stream    | 3.3.4   | —       | KRITISCH | Kompromittiert durch Supply-Chain-Angriff |
| node-uuid       | 1.4.8   | —       | KRITISCH | Deprecated — `uuid` verwenden   |

### Sofortmassnahmen
1. `event-stream` entfernen — kompromittiertes Paket, `Highland.js` oder native Streams nutzen
2. `node-uuid` durch `uuid@9.x` ersetzen (der offizielle gepflegte Fork)
3. `lodash` auf 4.17.21 aktualisieren, um CVE-2021-23337 zu patchen

Wann verwenden

Ausfuehren, wenn neue Abhaengigkeiten hinzugefuegt werden, bei periodischen Sicherheits-Reviews oder nach einem Dependabot-Alert. Besonders wichtig vor Produktions-Deployments oder bei der Uebernahme eines Projekts mit unbekannten Abhaengigkeiten. Teil der monatlichen Wartungsroutine machen.

Profi-Tipps

  • Lock-Datei einbeziehen — sie zeigt den vollstaendigen transitiven Dependency Tree, in dem die meisten Schwachstellen tatsaechlich lauern.
  • Nach Alternativen fragen — nachfragen: “Was ist die leichtgewichtigste, sicherste Alternative zu [Paket], die dasselbe tut?” um die Angriffsflaeche zu reduzieren.
  • Postinstall-Skripte pruefen — die KI bitten, Pakete zu markieren, die Code bei der Installation ausfuehren: “Welche dieser Pakete haben Postinstall-Skripte und was tun sie?”