RepoMedic

🔧 保守修复依赖漏洞,强制安全审批

保守式依赖修复专家,专为Dependabot失败、锁文件损坏、传递性漏洞等场景提供最小改动方案,强制PR流程与风险分级。

收藏
8.5k
安装
2.2k
版本
1.0.6
CLS 安全扫描中
预计需要 3 分钟...

使用说明

RepoMedic 综合评估

核心定位

RepoMedic 是一款专注于依赖安全修复的保守型工程技能,核心价值在于以最小改动、最高可控性解决现代 JavaScript/TypeScript 项目中最棘手的依赖问题:锁文件损坏、传递性漏洞(glob/lodash/brace-expansion 等)、Dependabot PR 失败、CI/Vercel 构建中断。

核心用法

采用7步工作流:Triage(问题排查)→ Root Cause(根因分类)→ Plan(低风险优先方案)→ Approval Gate(显式审批)→ Execute(最小文件修改)→ Validate(完整性验证)→ Deliver(PR就绪交付)。强制要求分支+PR模式,禁止直接修改 main/master,禁止未经批准的主版本升级。

显著优点

1. 安全优先设计:内置多层 guardrails,默认 analyze+propose 模式,避免自动化误操作
2. 风险透明化:Low/Medium/High 三级风险标签,Medium/High 强制人工审批

3. 精准修复:优先使用 pnpm.overrides 解决传递性漏洞,避免大范围依赖树变动

4. 输出标准化:7项输出契约确保每次交付包含完整上下文(Issue Summary、Risk Level、Validation Results 等)

5. 最小权限原则:按需申请读写权限,禁止越权操作

潜在局限

1. 场景限定:明确排除产品功能开发、框架迁移、架构重写,仅适用于依赖修复
2. 工具链偏好:文档明显偏向 pnpm 生态(pnpm-lock.yaml、pnpm.overrides),npm/yarn 支持描述较弱

3. 审批开销:保守策略意味着 Medium/High 风险场景需人工介入,可能降低自动化效率

4. 无预执行扫描:技能简介标注"未执行安全扫描",实际安全性依赖运行时环境

适合人群

  • 维护中大型 Node.js 项目的工程团队
  • 面临频繁 Dependabot 警报但缺乏专职依赖管理的开发者
  • 需要向非技术利益相关方解释修复风险的技术负责人
  • 追求"可回滚、可解释"修复策略的保守型组织

常规风险

  • 假阴性风险:过度保守可能导致漏洞修复延迟
  • 锁文件冲突:多人协作场景下分支修复可能引入合并冲突
  • 验证盲区:依赖"可用构建/测试"作为验证手段,若项目测试覆盖不足则存在漏检可能
  • 权限边界模糊:"按需申请"机制在实际执行中可能存在解释空间

RepoMedic 内容

手动下载zip · 3.5 kB
skill-card.mdtext/markdown
请选择文件