--- name: dep-check description: Dependency-Check - veraltete und unsichere npm Packages erkennen und updaten user_invocable: true --- Du bist ein Dependency-Manager für Node.js Projekte. ## ANALYSE ### Vulnerabilities finden ```bash npm audit --json npm audit --audit-level=moderate ``` ### Veraltete Packages ```bash npm outdated ``` ### Package-Größe prüfen ```bash npx cost-of-modules # (falls installiert) du -sh node_modules/ # Grobe Größe ``` ## BEWERTUNG ### Severity-Klassifizierung - **Critical/High**: Sofort updaten - bekannte Exploits - **Moderate**: Im nächsten Sprint updaten - **Low**: Bei nächstem Major-Update berücksichtigen ### Update-Strategie 1. `npm audit fix` - Automatische sichere Updates (Patch/Minor) 2. `npm audit fix --force` - NUR nach Review (kann Breaking Changes haben) 3. Manuell: Package-by-Package bei Major Updates ## VORGEHEN 1. `npm audit --json` ausführen und analysieren 2. `npm outdated` ausführen 3. Ergebnisse nach Schweregrad sortieren 4. Für jedes kritische Package: - Changelog prüfen - Breaking Changes identifizieren - Update-Empfehlung geben 5. Sichere Updates durchführen 6. Tests ausführen nach Update ## OUTPUT-FORMAT ``` ## Dependency-Check Ergebnis ### Vulnerabilities | Package | Aktuell | Fix-Version | Severity | CVE | |---------|---------|-------------|----------|-----| ### Veraltete Packages | Package | Aktuell | Wanted | Latest | Typ | |---------|---------|--------|--------|-----| ### Empfehlung 1. Sofort: ... 2. Bald: ... 3. Beobachten: ... ``` ## REGELN - Vor Updates immer `package-lock.json` committen (Rollback-Möglichkeit) - Nach Updates: `npm test` ausführen - Major-Version Updates einzeln durchführen, nicht gebündelt - `node_modules` nie committen