| name | dependency-management |
| description | パッケージ管理や脆弱性対応時に使用。 |
Dependency Management
📋 実行前チェック(必須)
このスキルを使うべきか?
- パッケージを追加する?
- 依存関係を更新する?
- 脆弱性に対応する?
- ライセンスを確認する?
前提条件
- 本当に必要か確認したか?(自前実装で済まないか)
- メンテナンス状況を確認したか?
- ライセンスを確認したか?
禁止事項の確認
- 不要なパッケージを追加しようとしていないか?
- 脆弱性のあるバージョンを使おうとしていないか?
- ロックファイルをコミットし忘れていないか?
- メジャーバージョンを安易に上げようとしていないか?
トリガー
- パッケージ追加時
- 依存関係更新時
- 脆弱性対応時
- ライセンス確認時
🚨 鉄則
依存は負債。必要最小限に。
追加前チェック
□ 本当に必要?(自前実装で済まないか)
□ メンテされている?(最終更新)
□ ライセンス確認(MIT, Apache等)
□ 依存の依存は多すぎないか
バージョン指定
{
"dependencies": {
"express": "^4.18.0", // パッチ・マイナー許可
"lodash": "4.17.21" // 固定(重要なもの)
}
}
ロックファイル
⚠️ 必ずコミット:
package-lock.jsonyarn.lockpnpm-lock.yamlpoetry.lockCargo.lockcomposer.lock
🚫 禁止事項まとめ
- 不要なパッケージの追加
- 脆弱性のあるバージョン使用
- ロックファイルのコミット忘れ
- 安易なメジャーバージョンアップ