💬 コミュニケーション コミュニティ
dependency-audit
npmやpipなどのパッケージマネージャーにおける依存関係の監査、更新、脆弱性管理を行うためのSkill。
📜 元の英語説明(参考)
Dependency auditing, updating, and vulnerability management for npm, pip, and other package managers. Use when user asks to "audit dependencies", "update packages", "fix vulnerabilities", "check outdated", "npm audit", "pip audit", "upgrade dependencies safely", or any dependency management tasks.
🇯🇵 日本人クリエイター向け解説
一言でいうと
npmやpipなどのパッケージマネージャーにおける依存関係の監査、更新、脆弱性管理を行うためのSkill。
※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。
⚡ おすすめ: コマンド1行でインストール(60秒)
下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。
🍎 Mac / 🐧 Linux
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o dependency-audit.zip https://jpskill.com/download/6079.zip && unzip -o dependency-audit.zip && rm dependency-audit.zip
🪟 Windows (PowerShell)
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/6079.zip -OutFile "$d\dependency-audit.zip"; Expand-Archive "$d\dependency-audit.zip" -DestinationPath $d -Force; ri "$d\dependency-audit.zip"完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。
💾 手動でダウンロードしたい(コマンドが難しい人向け)
- 1. 下の青いボタンを押して
dependency-audit.zipをダウンロード - 2. ZIPファイルをダブルクリックで解凍 →
dependency-auditフォルダができる - 3. そのフォルダを
C:\Users\あなたの名前\.claude\skills\(Win)または~/.claude/skills/(Mac)へ移動 - 4. Claude Code を再起動
⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。
🎯 このSkillでできること
下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。
📦 インストール方法 (3ステップ)
- 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
- 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
- 3. 展開してできたフォルダを、ホームフォルダの
.claude/skills/に置く- · macOS / Linux:
~/.claude/skills/ - · Windows:
%USERPROFILE%\.claude\skills\
- · macOS / Linux:
Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。
詳しい使い方ガイドを見る →- 最終更新
- 2026-05-17
- 取得日時
- 2026-05-17
- 同梱ファイル
- 1
📖 Skill本文(日本語訳)
※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。
依存関係の監査
依存関係を安全に監査、更新、管理します。
npm / Node.js
監査
# セキュリティ監査を実行
npm audit
npm audit --json # 機械可読形式
npm audit --production # 本番環境の依存関係のみ
# 自動的に修正
npm audit fix
npm audit fix --force # メジャーバージョンの更新を許可
# 特定のアドバイザリを確認
npm audit --advisory=1234古いパッケージの確認
# 古いパッケージを一覧表示
npm outdated
# 出力例:
# Package Current Wanted Latest Location
# express 4.17.1 4.17.3 5.0.0 my-app
# lodash 4.17.20 4.17.21 4.17.21 my-app
# Wanted = package.json の semver 範囲に一致する最新バージョン
# Latest = 公開されている最新バージョン更新戦略
# semver 範囲内で更新 (安全)
npm update
# 特定のパッケージを更新
npm update express
# 最新バージョンに更新 (破壊的変更の可能性あり)
npm install express@latest
# 対話型更新ツール
npx npm-check-updates # すべての更新を一覧表示
npx npm-check-updates -u # package.json を更新
npm install # 更新されたパッケージをインストール
# ターゲットを指定して更新
npx npm-check-updates --target minor # マイナーバージョンとパッチバージョンのみ
npx npm-check-updates --target patch # パッチバージョンのみロックファイル
# ロックファイルを再生成
rm package-lock.json && npm install
# ロックファイルの整合性を確認
npm ci # ロックファイルからのクリーンインストール (CI)
# 重複排除
npm dedupePython / pip
監査
# pip-audit (推奨)
pip install pip-audit
pip-audit
pip-audit -r requirements.txt
pip-audit --fix # 脆弱性を自動修正
pip-audit --json # 機械可読形式
# Safety (代替)
pip install safety
safety check
safety check -r requirements.txt古いパッケージの確認
# 古いパッケージを一覧表示
pip list --outdated
pip list --outdated --format=json
# 特定のパッケージを確認
pip show package-name更新戦略
# 単一パッケージを更新
pip install --upgrade requests
# すべてのパッケージを更新 (注意!)
pip list --outdated --format=json | python -c "
import json, sys
for pkg in json.load(sys.stdin):
print(pkg['name'])" | xargs -n1 pip install --upgrade
# 更新後にバージョンを固定
pip freeze > requirements.txtpip-tools (推奨)
pip install pip-tools
# requirements.in を定義 (バージョン固定なし)
# requirements.in:
# flask
# sqlalchemy>=2.0
# 固定された requirements.txt にコンパイル
pip-compile requirements.in
# すべてを更新
pip-compile --upgrade requirements.in
# 特定のパッケージを更新
pip-compile --upgrade-package flask requirements.in
# 環境を同期
pip-sync requirements.txtYarn
# 監査
yarn audit
yarn audit --level moderate # moderate 以上のみ
# 古いパッケージ
yarn outdated
# 更新
yarn upgrade # 範囲内で更新
yarn upgrade --latest # 最新バージョンに更新
yarn upgrade-interactive # 対話型選択
# 重複排除
yarn dedupepnpm
# 監査
pnpm audit
pnpm audit --fix
# 古いパッケージ
pnpm outdated
# 更新
pnpm update
pnpm update --latest
pnpm update --interactiveRenovate / Dependabot
Dependabot (GitHub)
# .github/dependabot.yml
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "weekly"
open-pull-requests-limit: 10
reviewers:
- "team-name"
labels:
- "dependencies"
groups:
dev-deps:
patterns:
- "*"
dependency-type: "development"
prod-deps:
patterns:
- "*"
dependency-type: "production"
- package-ecosystem: "pip"
directory: "/"
schedule:
interval: "weekly"
- package-ecosystem: "github-actions"
directory: "/"
schedule:
interval: "weekly"Renovate
// renovate.json
{
"$schema": "https://docs.renovatebot.com/renovate-schema.json",
"extends": ["config:recommended"],
"schedule": ["before 6am on Monday"],
"automerge": true,
"automergeType": "pr",
"packageRules": [
{
"matchUpdateTypes": ["patch"],
"automerge": true
},
{
"matchUpdateTypes": ["major"],
"automerge": false,
"labels": ["breaking"]
}
]
}更新ワークフロー
1. 古いパッケージを確認
npm outdated / pip list --outdated
2. 脆弱性の監査を実行
npm audit / pip-audit
3. まずパッチバージョンを更新 (最も安全)
npx ncu --target patch -u && npm install
4. テストを実行
npm test / pytest
5. マイナーバージョンを更新
npx ncu --target minor -u && npm install && npm test
6. メジャーバージョンを一度に1つずつ更新
npm install package@latest && npm test
メジャーバージョンの更新については移行ガイドを読んでください
7. コミットしてプッシュ
git add package.json package-lock.json
git commit -m "chore: update dependencies"ライセンスチェック
# npm
npx license-checker --summary
npx license-checker --onlyAllow "MIT;ISC;BSD-3-Clause;Apache-2.0"
# Python
pip install pip-licenses
pip-licenses --summary
pip-licenses --allow-only "MIT;BSD;Apache-2.0"参照
CI 統合と自動化については: references/automation.md
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開
Dependency Audit
Audit, update, and manage dependencies safely.
npm / Node.js
Audit
# Run security audit
npm audit
npm audit --json # Machine-readable
npm audit --production # Production deps only
# Fix automatically
npm audit fix
npm audit fix --force # Allow major version bumps
# Check specific advisory
npm audit --advisory=1234Check Outdated
# List outdated packages
npm outdated
# Output:
# Package Current Wanted Latest Location
# express 4.17.1 4.17.3 5.0.0 my-app
# lodash 4.17.20 4.17.21 4.17.21 my-app
# Wanted = highest version matching semver range in package.json
# Latest = latest version publishedUpdate Strategies
# Update within semver range (safe)
npm update
# Update specific package
npm update express
# Update to latest (may break)
npm install express@latest
# Interactive update tool
npx npm-check-updates # List all updates
npx npm-check-updates -u # Update package.json
npm install # Install updated
# Update with target
npx npm-check-updates --target minor # Only minor+patch
npx npm-check-updates --target patch # Only patchLock File
# Regenerate lock file
rm package-lock.json && npm install
# Check lock file integrity
npm ci # Clean install from lock file (CI)
# Deduplicate
npm dedupePython / pip
Audit
# pip-audit (recommended)
pip install pip-audit
pip-audit
pip-audit -r requirements.txt
pip-audit --fix # Auto-fix vulnerabilities
pip-audit --json # Machine-readable
# Safety (alternative)
pip install safety
safety check
safety check -r requirements.txtCheck Outdated
# List outdated packages
pip list --outdated
pip list --outdated --format=json
# Check specific package
pip show package-nameUpdate Strategies
# Update single package
pip install --upgrade requests
# Update all packages (careful!)
pip list --outdated --format=json | python -c "
import json, sys
for pkg in json.load(sys.stdin):
print(pkg['name'])" | xargs -n1 pip install --upgrade
# Pin versions after updating
pip freeze > requirements.txtpip-tools (Recommended)
pip install pip-tools
# Define requirements.in (unpinned)
# requirements.in:
# flask
# sqlalchemy>=2.0
# Compile to pinned requirements.txt
pip-compile requirements.in
# Update all
pip-compile --upgrade requirements.in
# Update specific package
pip-compile --upgrade-package flask requirements.in
# Sync environment to match
pip-sync requirements.txtYarn
# Audit
yarn audit
yarn audit --level moderate # Only moderate+
# Outdated
yarn outdated
# Update
yarn upgrade # Within ranges
yarn upgrade --latest # To latest versions
yarn upgrade-interactive # Interactive picker
# Dedupe
yarn dedupepnpm
# Audit
pnpm audit
pnpm audit --fix
# Outdated
pnpm outdated
# Update
pnpm update
pnpm update --latest
pnpm update --interactiveRenovate / Dependabot
Dependabot (GitHub)
# .github/dependabot.yml
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "weekly"
open-pull-requests-limit: 10
reviewers:
- "team-name"
labels:
- "dependencies"
groups:
dev-deps:
patterns:
- "*"
dependency-type: "development"
prod-deps:
patterns:
- "*"
dependency-type: "production"
- package-ecosystem: "pip"
directory: "/"
schedule:
interval: "weekly"
- package-ecosystem: "github-actions"
directory: "/"
schedule:
interval: "weekly"Renovate
// renovate.json
{
"$schema": "https://docs.renovatebot.com/renovate-schema.json",
"extends": ["config:recommended"],
"schedule": ["before 6am on Monday"],
"automerge": true,
"automergeType": "pr",
"packageRules": [
{
"matchUpdateTypes": ["patch"],
"automerge": true
},
{
"matchUpdateTypes": ["major"],
"automerge": false,
"labels": ["breaking"]
}
]
}Update Workflow
1. Check what's outdated
npm outdated / pip list --outdated
2. Run audit for vulnerabilities
npm audit / pip-audit
3. Update patch versions first (safest)
npx ncu --target patch -u && npm install
4. Run tests
npm test / pytest
5. Update minor versions
npx ncu --target minor -u && npm install && npm test
6. Update major versions one at a time
npm install package@latest && npm test
Read migration guides for major bumps
7. Commit and push
git add package.json package-lock.json
git commit -m "chore: update dependencies"License Checking
# npm
npx license-checker --summary
npx license-checker --onlyAllow "MIT;ISC;BSD-3-Clause;Apache-2.0"
# Python
pip install pip-licenses
pip-licenses --summary
pip-licenses --allow-only "MIT;BSD;Apache-2.0"Reference
For CI integration and automation: references/automation.md