name: dependency-management description: パッケージ管理や脆弱性対応時に使用。

Dependency Management

📋 実行前チェック(必須)

このスキルを使うべきか?

• パッケージを追加する?
• 依存関係を更新する?
• 脆弱性に対応する?
• ライセンスを確認する?

前提条件

• 本当に必要か確認したか?(自前実装で済まないか)
• メンテナンス状況を確認したか?
• ライセンスを確認したか?

禁止事項の確認

• 不要なパッケージを追加しようとしていないか?
• 脆弱性のあるバージョンを使おうとしていないか?
• ロックファイルをコミットし忘れていないか?
• メジャーバージョンを安易に上げようとしていないか?

トリガー

• パッケージ追加時
• 依存関係更新時
• 脆弱性対応時
• ライセンス確認時

🚨 鉄則

依存は負債。必要最小限に。

追加前チェック

□ 本当に必要?(自前実装で済まないか)
□ メンテされている?(最終更新)
□ ライセンス確認(MIT, Apache等)
□ 依存の依存は多すぎないか

バージョン指定

{
  "dependencies": {
    "express": "^4.18.0",  // パッチ・マイナー許可
    "lodash": "4.17.21"    // 固定(重要なもの)
  }
}

ロックファイル

⚠️ 必ずコミット:

• package-lock.json
• yarn.lock
• pnpm-lock.yaml
• poetry.lock
• Cargo.lock
• composer.lock

🚫 禁止事項まとめ

• 不要なパッケージの追加
• 脆弱性のあるバージョン使用
• ロックファイルのコミット忘れ
• 安易なメジャーバージョンアップ