Workflow de Correction CVE

Ce que fait ce skill

Ce skill fournit un workflow reproductible étape par étape pour trouver et remédier aux CVE dans les dépôts Submariner basés sur Go. Il détecte la configuration du dépôt, scanne les dépendances (via grype/container ou grype local), localise les packages vulnérables, met à jour go.mod ou les versions des packages, vérifie les corrections avec un nouveau scan, exécute les tests unitaires et prépare une seule PR avec des messages de commit bien structurés. Il inclut des conseils pour les CVE de la stdlib (mise à jour de la directive go) et pour la gestion des directives replace et les incompatibilités d'images de build.

Quand l'utiliser

Utilisez ce skill lors de la préparation d'une branche de release ou lorsque les outils de scan CI signalent des vulnérabilités. Idéal pour les exécutions de maintenance automatisées sur plusieurs dépôts/branches ou pour les équipes d'ingénierie ayant besoin d'une approche cohérente et à faible risque pour les corrections de sécurité des dépendances. Il supporte également les invocations multi-dépôts et tolère les formats courts de noms de branche (ex: 0.23).

Ce qui est inclus

• Scripts : aucun script groupé dans le répertoire du skill, mais le skill s'intègre avec des scanners basés sur des conteneurs et des outils locaux.
• Références : conseils procéduraux et modèles de commit/PR intégrés dans le SKILL.md.
• Instructions : séquences shell détaillées pour la détection, le scan, la mise à jour de go.mod, la vérification des corrections, le nettoyage des artefacts et la création de PR.

Agents compatibles

Idéalement utilisé par des agents ayant un accès Bash et aux dépôts (agents pouvant exécuter des commandes conteneur, lire des fichiers et invoquer git). Le workflow suppose l'utilisation d'outils comme Docker/Podman, grype, et GitHub CLI pour les étapes finales de la PR.