swl-ses 3.3.2

package/habilidades/dependencias-auditoria/SKILL.md

@@ -0,0 +1,293 @@
+---
+name: dependencias-auditoria
+description: Auditoría completa de dependencias del proyecto. Detecta CVEs conocidos, licencias incompatibles con el uso comercial, dependencias abandonadas sin alternativa, y genera una estrategia de actualización priorizada. Aplica a proyectos Python, Node.js/TypeScript, y contenedores Docker.
+---
+
+# Habilidad: Auditoría de Dependencias
+
+## Propósito
+
+Las dependencias son el vector de ataque más subestimado. El 80% de los ataques
+de cadena de suministro (supply chain attacks) explotan dependencias con CVEs
+conocidos y disponibles públicamente. Esta habilidad detecta el riesgo antes
+de que se convierta en incidente.
+
+## Cuándo activar
+
+- Antes de cada deploy a producción
+- Al comenzar a trabajar en un proyecto heredado
+- Cuando se reporta una vulnerabilidad que podría afectar el stack
+- Trimestralmente como revisión de mantenimiento
+- Antes de una auditoría de seguridad o certificación
+
+---
+
+## Categorías de riesgo en dependencias
+
+### Categoría 1 — CVEs conocidos (CRÍTICO)
+
+Un CVE (Common Vulnerabilities and Exposures) en una dependencia directa o
+transitiva es un riesgo activo. La severidad se mide con CVSS:
+
+| CVSS Score | Severidad | Acción requerida |
+|-----------|----------|-----------------|
+| 9.0 - 10.0 | Crítica | Fix inmediato — bloquea deploy |
+| 7.0 - 8.9 | Alta | Fix en 48 horas |
+| 4.0 - 6.9 | Media | Fix en próximo sprint |
+| 0.1 - 3.9 | Baja | Registrar, resolver en backlog |
+
+### Categoría 2 — Licencias incompatibles (ALTO)
+
+Dependencias con licencias restrictivas en proyectos comerciales:
+
+| Licencia | Riesgo en proyecto comercial |
+|----------|----------------------------|
+| GPL v2/v3 | ALTO — puede requerir open-source del código propio |
+| AGPL | CRÍTICO — cualquier uso de red activa la cláusula |
+| LGPL | MEDIO — revisar caso a caso |
+| SSPL | ALTO — restricciones en servicios cloud |
+| MIT, Apache 2.0, BSD | Bajo riesgo — permisivas |
+| ISC, 0BSD | Sin riesgo — extremadamente permisivas |
+
+### Categoría 3 — Dependencias abandonadas (MEDIO)
+
+Una dependencia abandonada es aquella que:
+- Sin commits en el repositorio por más de 18 meses
+- Sin versión nueva en más de 12 meses para proyectos activos
+- Issues críticos sin respuesta por más de 6 meses
+- El mantenedor ha declarado públicamente el abandono
+
+### Categoría 4 — Dependencias desactualizadas (BAJO-MEDIO)
+
+Versiones con 2+ versiones major de atraso acumulan:
+- CVEs parcheados en versiones nuevas
+- Incompatibilidades futuras con el ecosistema
+- Pérdida de soporte técnico de la comunidad
+
+---
+
+## Herramientas y comandos por stack
+
+### Python
+
+```bash
+# pip-audit: CVEs en dependencias Python (recomendado)
+pip install pip-audit
+pip-audit --output=json > audit-python.json
+pip-audit  # Output legible para humanos
+
+# safety: Base de datos de vulnerabilidades de PyUp.io
+pip install safety
+safety check --json > safety-report.json
+
+# Licencias de todas las dependencias
+pip install pip-licenses
+pip-licenses --format=json --with-urls > licenses.json
+pip-licenses --format=markdown  # Output legible
+
+# Dependencias desactualizadas
+pip list --outdated --format=json
+
+# Ver árbol completo de dependencias transitivas
+pip install pipdeptree
+pipdeptree --warn silence --json-tree > deptree.json
+```
+
+### Node.js / TypeScript
+
+```bash
+# npm audit: CVEs en dependencias Node.js
+npm audit --json > npm-audit.json
+npm audit  # Output legible
+
+# Para yarn
+yarn audit --json > yarn-audit.json
+
+# Licencias
+npx license-checker --json > npm-licenses.json
+npx license-checker --excludePrivatePackages --onlyAllow \
+  "MIT;Apache-2.0;BSD-2-Clause;BSD-3-Clause;ISC;0BSD"
+
+# Dependencias desactualizadas
+npm outdated --json
+
+# Verificar dependencias no usadas
+npx depcheck
+
+# Tamaño del bundle por dependencia
+npx cost-of-modules
+```
+
+### Docker / Contenedores
+
+```bash
+# Trivy: CVEs en imagen Docker (recomendado)
+docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
+  aquasec/trivy image --format json [nombre-imagen]:latest > trivy-report.json
+
+# Grype: alternativa a Trivy
+grype [nombre-imagen]:latest
+
+# Ver imagen base y su historial
+docker inspect [nombre-imagen] | jq '.[0].Config.Image'
+
+# Verificar si la imagen base es reciente
+# Comparar con el digest publicado en Docker Hub
+```
+
+---
+
+## Proceso de auditoría paso a paso
+
+### Paso 1 — Inventario inicial
+
+```bash
+# Python: listar todas las dependencias con versión exacta
+pip freeze > requirements-audit.txt
+# Comparar con requirements.txt original para detectar dependencias no declaradas
+
+# Node: listar todo el árbol
+npm ls --all 2>/dev/null | head -100
+
+# Verificar si hay dependencias directas no declaradas en package.json
+npx depcheck
+```
+
+### Paso 2 — Escaneo de CVEs
+
+Ejecutar todos los scanners disponibles para el stack. Los resultados se guardan
+en formato JSON para procesamiento posterior.
+
+### Paso 3 — Análisis de licencias
+
+```bash
+# Python: identificar licencias no permitidas
+pip-licenses --fail-on="GPL;AGPL;LGPL;SSPL" 2>&1
+# Exit code != 0 si encuentra licencias problemáticas
+
+# Node: verificar lista blanca de licencias
+npx license-checker --onlyAllow "MIT;Apache-2.0;BSD-2-Clause;BSD-3-Clause;ISC"
+```
+
+### Paso 4 — Identificar dependencias abandonadas
+
+Para cada dependencia directa, verificar en su repositorio:
+- Fecha del último commit
+- Fecha del último release
+- Issues abiertos sin respuesta
+- Estado del repositorio (archived, deprecated)
+
+```bash
+# Script para verificar última versión en PyPI
+python -c "
+import json, urllib.request
+packages = open('requirements.txt').read().split()
+for pkg in packages[:20]:
+    name = pkg.split('==')[0].split('>=')[0]
+    try:
+        url = f'https://pypi.org/pypi/{name}/json'
+        data = json.loads(urllib.request.urlopen(url).read())
+        last = max(data['releases'].keys())
+        print(f'{name}: última versión {last}')
+    except: pass
+"
+```
+
+---
+
+## Plantilla de reporte: `DEPENDENCIES-AUDIT.md`
+
+```markdown
+# DEPENDENCIES-AUDIT.md
+**Fecha**: [fecha]  **Stack**: [Python/Node/Docker/todos]
+
+## Resumen ejecutivo
+| Categoría | Críticos | Altos | Medios | Bajos |
+|-----------|---------|-------|--------|-------|
+| CVEs | | | | |
+| Licencias | | | | |
+| Abandonadas | | | | |
+| Desactualizadas | | | | |
+
+**Decisión de deploy**: BLOQUEADO / APROBADO CON PLAN / APROBADO
+
+---
+
+## CVEs encontrados
+
+### [CRÍTICO] [Nombre de la dependencia] v[X.Y.Z]
+- **CVE**: CVE-XXXX-XXXXX
+- **CVSS**: [score]
+- **Descripción**: [qué hace vulnerable]
+- **Versión parcheada**: [versión que resuelve el CVE]
+- **Comando de actualización**: `pip install [paquete]==[version]`
+- **Dependencia directa**: Sí / No (transitiva vía [paquete])
+- **Plan de acción**: [actualizar / reemplazar / parchear temporalmente]
+- **Deadline**: [fecha]
+
+[Repetir para cada CVE]
+
+---
+
+## Licencias problemáticas
+
+| Paquete | Versión | Licencia | Riesgo | Alternativa |
+|---------|---------|---------|--------|------------|
+|         |         |         |        |            |
+
+---
+
+## Dependencias abandonadas
+
+| Paquete | Último commit | Último release | Alternativa recomendada |
+|---------|-------------|---------------|------------------------|
+|         |             |               |                        |
+
+---
+
+## Dependencias desactualizadas (alta prioridad)
+
+| Paquete | Versión actual | Última versión | Versiones de atraso | Prioridad |
+|---------|---------------|----------------|--------------------| ----------|
+|         |               |                |                    |           |
+
+---
+
+## Estrategia de actualización
+
+### Sprint actual (bloqueos de deploy)
+- [ ] [dependencia]: actualizar a [versión] — CVE crítico
+
+### Próximo sprint
+- [ ] [dependencia]: actualizar a [versión] — CVE alto
+
+### Backlog de mantenimiento
+- [ ] [dependencia]: evaluar reemplazo por [alternativa]
+
+---
+
+## Dependencias monitoreadas (sin acción inmediata)
+| Paquete | Razón de monitoreo | Próxima revisión |
+|---------|-------------------|-----------------|
+|         |                   |                 |
+```
+
+---
+
+## Automatización recomendada
+
+Integrar en el pipeline CI/CD:
+
+```yaml
+# GitHub Actions — auditoría automática en cada PR
+- name: Auditoría de dependencias Python
+  run: |
+    pip-audit --fail-on-severity high
+    # Falla el pipeline si hay CVEs altos o críticos sin resolver
+
+- name: Auditoría de dependencias Node
+  run: npm audit --audit-level=high
+```
+
+Configurar renovación automática con Dependabot o Renovate Bot para dependencias
+con actualizaciones de parche (patch) que no rompen la API.