Sem alterar dependências
O agente é só leitura no repositório: executa npm audit e envia o resultado para a conformidade. Ele não roda npm install nem corrige código sozinho.
ISO 27001 A.8.8 · npm audit · Vulnerabilidades
O controle A.8.8 pede gestão de vulnerabilidades técnicas. A skill da Exponencial roda npm audit, reconcilia riscos e registra evidências datadas na plataforma de conformidade.
01 Intenção de busca
Auditores e clientes querem ver processo: detecção, priorização, tratamento, aceite e evidência. Um relatório solto do npm audit ajuda pouco se não vira registro rastreável dentro do SGSI.
02 O que entregamos
O agente é só leitura no repositório: executa npm audit e envia o resultado para a conformidade. Ele não roda npm install nem corrige código sozinho.
Pacote, severidade, projeto, data e origem entram no registro de riscos para decisão de tratamento, aceite ou mitigação.
Na primeira execução, o agente cria uma organização de avaliação com o e-mail do responsável. Já cliente, use o fluxo de conexão e aprovação.
03 Fluxo
Execute dentro de um projeto com package.json e package-lock.json. O agente identifica o responsável pelo e-mail do Git.
Altas e críticas viram riscos; baixas e moderadas compõem evidência do monitoramento; resolvidas fecham pendências existentes.
Entre no /adm com o mesmo e-mail e veja o controle A.8.8, riscos e eventos gerados pela rodada.
Em clientes ativos, o mesmo agente pode rodar em CI, cron ou rotina de agente para manter a evidência viva.
04 Prova prática
O valor está em ligar a saída técnica ao controle ISO correto e ao fluxo de decisão. A evidência deixa de ser um arquivo esquecido e passa a compor o histórico do SGSI.
05 Perguntas frequentes
Não. A execução sem cadastro cria uma organização de avaliação. Para conectar a uma conta existente, use --connect e aprove o agente no painel.
Não por desenho. Ele usa a saída do npm audit e metadados de projeto; não precisa ler .env, chaves privadas ou credenciais do repositório.
Esta primeira skill é focada em npm porque resolve uma porta de entrada clara. O mesmo modelo pode ser estendido para outros ecossistemas e controles.