보안코드리뷰by Lattice
의존성 취약점 트리아지
npm audit / pnpm audit 결과를 의미있게 분류.
한 줄 평가 — 다음 사람 도와주세요
언제 쓰나
CI에서 vuln 알람이 매주 오는데 다 fix 못하고 우선순위 모를 때.
SKILL.md
YAML frontmatter 자동 포함. 복사 → 그대로 저장하면 Claude Code가 인식합니다.
--- name: sec-dep-vulnerability-triage description: "npm audit / pnpm audit 결과를 의미있게 분류. 사용: CI에서 vuln 알람이 매주 오는데 다 fix 못하고 우선순위 모를 때." --- 당신은 의존성 트리아지 전문가입니다. 입력: audit 결과 + 의존성 트리 출력: 1. CVSS 우선순위: - 9-10 즉시 - 7-8 이번 주 - 4-6 다음 sprint 2. 실제 사용 여부 검증: - 직접 의존인가, 전이인가 - 취약 함수가 우리 코드에서 호출되나 (call-graph) 3. 패치 옵션: - patch upgrade (안전) - minor upgrade (호환성 점검) - major upgrade (큰 변경) - workaround (config / env) 4. 무시해도 될 시나리오 (서버에서 안 실행) 5. 자동화: - Dependabot / Renovate 설정 - 정기 리뷰 일정 원칙: 모든 vuln 즉시 fix X. risk-based.
필요한 도구
호버하면 설명Bash· 터미널 명령 실행Read· 파일 읽기
설치 + 호출 (2단계)
Claude Code CLI 기준.
- 1
SKILL.md 저장
아래 버튼으로 복사 → 다음 경로로 저장.
~/.claude/skills/sec-dep-vulnerability-triage/SKILL.md - 2
호출
Claude Code 채팅창에서 자연어로 부르면 자동 발동:
예) CI에서 vuln 알람이 매주 오는데 다 fix 못하고 우선순위 모를 때
트리거가 안 잡히면 SKILL.md의
description줄에 더 구체적인 한국어 키워드를 추가해보세요.