jpskill.com
🛠️ 開発・MCP コミュニティ

dependency-manager

プロジェクトの依存関係を管理し、パッケージの更新やバージョン競合の解決、サプライチェーンのセキュリティ確保、脆弱性監査を行うSkill。

📜 元の英語説明(参考)

Expert at package management and supply chain security. Use when managing dependencies, updating packages, resolving version conflicts, ensuring supply chain security, or auditing vulnerabilities in project dependencies.

🇯🇵 日本人クリエイター向け解説

一言でいうと

プロジェクトの依存関係を管理し、パッケージの更新やバージョン競合の解決、サプライチェーンのセキュリティ確保、脆弱性監査を行うSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⬇ このSkillをダウンロード(.skill) 元のソースを見る ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

依存関係マネージャー

目的

パッケージ管理、バージョン解決、およびソフトウェアサプライチェーンセキュリティに関する専門知識を提供します。複数のパッケージエコシステムにわたる依存関係の更新、脆弱性監査、および競合解決を処理します。

使用する状況

  • プロジェクトの依存関係を更新する場合
  • バージョンの競合を解決する場合
  • セキュリティ脆弱性を監査する場合
  • ロックファイルと再現性を管理する場合
  • パッケージマネージャー間で移行する場合
  • 依存関係ポリシーを実装する場合
  • 依存関係分析によりバンドルサイズを削減する場合

クイックスタート

このスキルを呼び出すのは、以下の状況です。

  • プロジェクトの依存関係を更新する場合
  • バージョンの競合を解決する場合
  • セキュリティ脆弱性を監査する場合
  • ロックファイルと再現性を管理する場合
  • 依存関係ポリシーを実装する場合

以下の状況では呼び出さないでください。

  • CI/CD パイプラインを構築する場合 (devops-engineer を使用)
  • パッケージをレジストリに公開する場合 (build-engineer を使用)
  • コンテナイメージ管理 (kubernetes-specialist を使用)
  • クラウドインフラストラクチャの依存関係 (terraform-engineer を使用)

意思決定フレームワーク

Update Strategy:
├── Security patch → Update immediately
├── Bug fix (patch) → Update with tests
├── Minor version → Review changelog, test
├── Major version → Full compatibility review
└── Deprecated package → Find replacement

Ecosystem Tools:
├── Node.js → npm, yarn, pnpm
├── Python → pip, poetry, uv
├── Go → go mod
├── Rust → cargo
├── Java → Maven, Gradle
└── .NET → NuGet

主要なワークフロー

1. 依存関係の監査

  1. パッケージ監査ツールを実行します。
  2. 脆弱性レポートを確認します。
  3. 重大度 (CVSS) で優先順位を付けます。
  4. 利用可能なパッチを確認します。
  5. 更新するか、代替案を見つけます。
  6. 修正がアプリケーションを壊さないことを確認します。
  7. 修正内容を文書化します。

2. メジャーバージョンのアップグレード

  1. 変更履歴と移行ガイドを読みます。
  2. 破壊的変更を確認します。
  3. 隔離されたブランチで更新します。
  4. 完全なテストスイートを実行します。
  5. 破壊的変更を修正します。
  6. 非推奨の API を確認します。
  7. まずステージング環境にデプロイします。

3. ロックファイル管理

  1. ロックファイルがコミットされていることを確認します。
  2. CI を使用してロックファイルが一致することを確認します。
  3. 競合解決時に再生成します。
  4. ロックファイルの改ざんを監査します。
  5. ロックファイルをアトミックに更新します。

ベストプラクティス

  • 再現性のために常にロックファイルを使用します。
  • CI/CD でセキュリティ監査を実行します。
  • 本番環境では正確なバージョンを固定します。
  • 自動化のために renovate/dependabot を使用します。
  • 推移的な依存関係を監査します。
  • 依存関係の数を最小限に抑えます。

アンチパターン

アンチパターン 問題 正しいアプローチ
ロックファイルがない 再現性のないビルド ロックファイルをコミットする
監査を無視する セキュリティ脆弱性 すべての重大/高を対処する
更新の自動マージ 本番環境での破壊的変更 マージ前にテストする
依存関係が多すぎる 攻撃対象領域が大きい 監査して最小限に抑える
古い依存関係 セキュリティパッチの欠落 定期的な更新サイクル
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Dependency Manager

Purpose

Provides expertise in package management, version resolution, and software supply chain security. Handles dependency updates, vulnerability auditing, and conflict resolution across multiple package ecosystems.

When to Use

  • Updating project dependencies
  • Resolving version conflicts
  • Auditing for security vulnerabilities
  • Managing lockfiles and reproducibility
  • Migrating between package managers
  • Implementing dependency policies
  • Reducing bundle size via dependency analysis

Quick Start

Invoke this skill when:

  • Updating project dependencies
  • Resolving version conflicts
  • Auditing for security vulnerabilities
  • Managing lockfiles and reproducibility
  • Implementing dependency policies

Do NOT invoke when:

  • Building CI/CD pipelines (use devops-engineer)
  • Publishing packages to registries (use build-engineer)
  • Container image management (use kubernetes-specialist)
  • Cloud infrastructure dependencies (use terraform-engineer)

Decision Framework

Update Strategy:
├── Security patch → Update immediately
├── Bug fix (patch) → Update with tests
├── Minor version → Review changelog, test
├── Major version → Full compatibility review
└── Deprecated package → Find replacement

Ecosystem Tools:
├── Node.js → npm, yarn, pnpm
├── Python → pip, poetry, uv
├── Go → go mod
├── Rust → cargo
├── Java → Maven, Gradle
└── .NET → NuGet

Core Workflows

1. Dependency Audit

  1. Run package audit tool
  2. Review vulnerability reports
  3. Prioritize by severity (CVSS)
  4. Check for available patches
  5. Update or find alternatives
  6. Verify fixes don't break app
  7. Document remediation

2. Major Version Upgrade

  1. Read changelog and migration guide
  2. Check for breaking changes
  3. Update in isolated branch
  4. Run full test suite
  5. Fix breaking changes
  6. Review for deprecated APIs
  7. Deploy to staging first

3. Lockfile Management

  1. Ensure lockfile is committed
  2. Use CI to verify lockfile matches
  3. Regenerate on conflict resolution
  4. Audit lockfile for tampering
  5. Update lockfile atomically

Best Practices

  • Always use lockfiles for reproducibility
  • Run security audits in CI/CD
  • Pin exact versions in production
  • Use renovate/dependabot for automation
  • Audit transitive dependencies
  • Minimize dependency count

Anti-Patterns

Anti-Pattern Problem Correct Approach
No lockfile Non-reproducible builds Commit lockfiles
Ignoring audits Security vulnerabilities Address all high/critical
Auto-merge updates Breaking changes in prod Test before merge
Too many deps Large attack surface Audit and minimize
Outdated deps Missing security patches Regular update cadence