Skill.md検索

ソースコード変更から対応スキルを自動特定し、どのドキュメントを更新すべきかを提示します スキル内のコード例とソースコードを比較し、差分がないか自動確認します sourcePatterns（監視対象ファイル）の設定が正しいか検証し、設定ミスを防ぎます 複数スキルの sourcePatterns を一覧で確認でき、スキル更新の漏れを防げます ソースコード更新後、対応ドキュメントをどれ更新すべきか分からない開発者 スキルドキュメント（SKILL.md）の差分管理・メンテナンスを自動化したいプロジェクト管理者 複数スキルを管理していて、更新漏れが発生しやすいドキュメント運用担当者 CLAUDE.mdやスキル内容の最新性を定期的に確保したいチームリーダー スキルと対応ソースコードの関係を管理し、変更検出→スキル特定→差分確認→sourcePatterns検証の4ステップで運用します。各スキルには sourcePatterns が定義されており、対応ソースファイルが変更された場合にスキルの更新が必要になります。変更されたファイルと sourcePatterns を照合し、更新が必要なスキルを特定。スキル内のコード例と実際のソースコードを比較し、乖離がないか確認。sourcePatterns が正しく設定されているか検証します。変更検出は git diff（最新5コミット、mainからの差分、特定コミットからの差分）で行い、複数スキル（tumiki-custom-mcp-server-feature、tumiki-dynamic-search-feature、tumiki-ee-ce-separation、tumiki-mcp-proxy-architecture、tumiki-prisma-schema-changes）の対応パターンを一覧で管理します。

新機能実装時に NotificationService を呼び出すだけで、ベルアイコン・ドロップダウン・トースト通知が自動表示されます セキュリティ・システム・アクション・情報・警告など、事前定義された6種類の通知タイプから選ぶだけで実装できます 特定ユーザーへの個別通知と、管理者などの特定ロール全体へのブロードキャスト通知（ブロードキャスト通知）が両方対応できます 通知はPostgreSQLに自動永続化され、未読数・既読・削除などの管理が APIエンドポイント経由で自動処理されます 日本語・英語対応で、多言語対応アプリでもそのまま使用できます 新機能実装時に通知周りの複雑な実装を避けたい開発者 ユーザーへのイベント通知を統一的に管理したいプロダクトマネージャー セキュリティアラート・アクション要求など、重要な通知を確実に配信したいシステム担当者 通知センターのUIを共通化して、アプリケーション全体の一貫性を保ちたいデザイナー NotificationServiceは、アプリケーション内での重要なイベントをユーザに通知する統一システムです。通知センター（ヘッダーのベルアイコン）、トースト通知（Sonnerでリアルタイム表示）、DB永続化（PostgreSQL×Prisma）で構成されています。6つの通知タイプ（SYSTEM・SECURITY・ACTION・INFO・WARNING・ERROR）と4段階の優先度（URGENT・HIGH・NORMAL・LOW）があります。ファイル構成は lib/services/notification-service.ts（通知発行）、lib/stores/notification-store.ts（Zustandストア）、lib/i18n/notifications.ts（翻訳）、app/api/notifications/route.ts・[id]/route.ts・read-all/route.ts・unread-count/route.ts（APIエンドポイント）、components/notifications/NotificationBell.tsx他（UIコンポーネント）です。API呼び出しは NotificationService.securityNotify()・systemNotify()・actionNotify()（個別通知）、NotificationService.broadcast()（ロール別ブロードキャスト）で実装します。

新機能の実装完了後、設計書・実装計画書・API比較表・README・チュートリアルをまとめて最新化できます Git の変更履歴から実装内容を自動判定し、どのドキュメントを更新すべきかを特定できます 実装ステータス、API仕様、実装詳細、ファイル構成などを一括更新し、ドキュメントと実装のズレを防げます 新しく実装されたAPIの場合、既存フォーマットに従って自動的に設計書を生成できます 機能を実装した直後、ドキュメント更新を効率的に済ませたい開発者 設計書と実装のズレを最小限にしたいプロジェクト README や API リファレンスを常に最新に保ちたいチーム 新機能追加時に、関連する複数のドキュメントを漏れなく更新したい人 update-docs スキルは 3 フェーズで実行されます。Phase 1（共通）：git diff と git log から変更内容を把握し、実装した機能を特定。Phase 2（開発ドキュメント更新）：設計書（docs/design/）ではステータスブロック・API仕様・Streamlit比較表を更新、実装計画書（docs/impl/）ではフェーズ完了状況・ファイル構成を更新、API比較表（docs/streamlit-api-comparison.md）では ❌ → ✅ に変更；該当ドキュメント未存在時は既存フォーマットに従い新規作成。Phase 3（README更新）：Features・API Reference セクションで新しいAPIを追加、既存フォーマット（TypeScript シグネチャ・パラメータテーブル・使用例）に従って記述。バグ修正・リファクタリング後にも使用可能。

Spring Boot で HTTP/REST API の実装レイヤーを正しいアーキテクチャパターンに従って構築できます。 Controller・Exception Handler・Filter・Spring Security 統合を適切に実装し、ビジネスロジックを HTTP ↔ DTO 変換に留めます。 アクセストークン検証・権限検証を実施し、OperatorPrincipal を SecurityContextHolder に正しくセットできます。 組織レベル API で URL から OrganizationIdentifier を解決し、マルチテナント環境に対応した実装ができます。 グローバル例外ハンドラーで例外を HTTP ステータス・エラーレスポンスに一貫して変換できます。 Spring Boot で OAuth/OIDC サーバーや管理 API を実装する開発者 マルチテナント環境でのセキュリティ・アクセス制御を適切に実装したい人 Bean 定義・Configuration・Filter の使い分けを正しく学びたい初〜中級開発者 Controller に ビジネスロジックが混在するのを防ぎ、関心の分離を徹底したい人 idp-server-springboot-adapter は HTTP/REST API の実装レイヤー。Controller（HTTP リクエスト → EntryService/Control-Plane API 呼び出し）、Configuration（Spring Bean 定義：DataSource・Repository）、Exception Handler（例外 → HTTP エラーレスポンス変換）、Filter（認証・CORS 前処理）を提供。鉄則：Controller にビジネスロジック一切含まず、HTTP ↔ DTO 変換のみ。モジュール構成：adapters/springboot/application/restapi/oauth（OAuth/OIDC エンドポイント）、control_plane/restapi（管理 API）、configuration（Spring Bean 定義）。Controller 命名：管理 API={Domain}ManagementV1Api、OAuth={OAuthV1Api 等}。実装パターン：HttpServletRequest を RequestAttributes に変換（Phase 1）→ control-plane API 呼び出し（Phase 2）→ HttpStatus を含むレスポンス生成（Phase 3）。@AuthenticationPrincipal OperatorPrincipal で認証ユーザー取得。ParameterTransformable implements で HttpServletRequest → RequestAttributes 変換メソッドを実装。

Identity Provider（IDP）サーバーの管理API層（Control Plane）を新規設計・実装し、システムレベルと組織レベルの階層化した管理機能を構築できます。 組織・テナント・クライアント・認証ポリシー・ユーザーなど複数のドメイン管理APIを統一されたパターンで実装できます。 73個のデフォルト管理者権限（DefaultAdminPermission）をidp:resource:action形式で定義し、細粒度のロールベースアクセス制御（RBAC）を実現できます。 全変更操作でDry-runモード（実行前の予行演習）をサポートし、本番リスクを低減した安全な管理操作ができます。 リクエスト/レスポンス変換パターンとHandler・EntryServiceの責務分離により、メンテナンス性の高い管理APIを構築できます。 マイクロサービス基盤でID認証・認可機能を担当するバックエンド開発者 SaaS・マルチテナント型IDPの構築・拡張を行うアーキテクト 管理API層の設計・実装ガイドラインを統一したいプロジェクトリード RBAC（ロールベースアクセス制御）の細粒度設計を必要とするセキュリティエンジニア Control Plane（管理API）はidp-serverの管理API層で、システム全体の設定管理・組織テナント管理・リソース構成を担当。2層構造（System Level・Organization Level）、Dry-runモード、73のデフォルト管理者権限を備える。モジュール構成は idp-server-control-plane（API契約）・idp-server-use-cases（EntryService）・idp-server-core（ドメインロジック）の3層。API設計パターンは ManagementApi→EntryService→Handler の流れで、各層が責務を分担。OrganizationManagementApi・TenantManagementApi・ClientManagementApi・AuthenticationPolicyManagementApi・UserManagementApi など各ドメイン別APIを実装。Handlerで Validator による検証後、Repositoryで永続化。ドキュメント参照：resource-overview.md・overview.md・system-level-api.md・organization-level-api.md。

Azure サービス（Event Grid、Redis、CosmosDBなど）の仕様を自動で調査し、 docs/research/ に調査結果を保存できます。 サービス概要、セキュリティ設定、ネットワーク要件、Terraform リソース構成など、実装に必要な情報を一度に収集できます。 複数の調査エージェント（Azure、Terraform、Context7）を並列起動して、視点を変えた詳しい調査結果をまとめて取得できます。 既存の調査結果がある場合は上書き確認を挟むため、無駄な重複調査を防げます。 Azure上でインフラを構築・管理するエンジニア Terraform で Azure リソースを IaC 化する開発チーム 新しい Azure サービスを採用するか検討中のアーキテクト 複数の視点からサービス仕様を理解したい設計担当者 第1引数にAzureサービス名（例：event_grid、redis、cosmosdb）を指定します。サービス名が未指定の場合は処理を中断します。実行時、既存リサーチファイル、既存モジュール、現在日付を確認します。docs/research/ に *_{サービス名}.md にマッチするファイルがあれば、上書き確認をユーザーに取ります。3つのエージェント（azure-researcher、terraform-researcher、context7-researcher）を1回のレスポンスで並列起動し、各々がサービス概要、Terraform構成、azapi対応状況などを調査します。Agent が失敗した場合はその旨を報告し、成功した結果で統合を続行します。3つすべてが失敗した場合は処理を中断します。結果を統合フォーマット（references/research-output-template.md を参照）にまとめ、docs/research/YYYY-MM-DD_{サービス名}.md に保存します。

MoonBit言語の仕様・Rabbita API・テストパターン・パッケージ情報をキーワード検索で即座に確認できます。 ローカルリファレンス→ツールチェインヘルプ→公式Web ドキュメント→GitHubソースコード→パッケージレジストリの優先順で自動検索し、最速で正確な情報を提供します。 コンパイルエラーやAPIの使い方が不明な際に「どうやって書くのか」を素早く調べられ、コード実装の手戻りを削減できます。 出典（ローカルファイルパスまたはURL）と pre-1.0 に起因する不確実性を明記し、信頼できる情報提供を実現します。 MoonBit でアプリケーション開発中にAPI仕様や言語機能を確認したい開発者 初めてMoonBitを使う際に、言語ドキュメント・テストパターン・FFI型マッピングなどを学びたい コンパイルエラーの原因を素早く特定したい MoonBitライブラリの実装方法やRabbita Web UIの使い方を知りたい 6段階の優先順検索戦略（最速→最終手段）： 1. ローカルリファレンス：.claude/skills/moonbit-lookup/moonbit-language-reference.md（言語仕様）、moonbit-testing-patterns.md（テスト）、rabbita-api-reference.md（Rabbita API）をGrepで検索 2. ツールチェインヘルプ：moon help / moon help コマンドで即時確認 3. 公式Webドキュメント：https://docs.moonbitlang.com/en/latest/ から fundamentals、methods、error-handling、ffi、packages、derive、tests、async-experimental など主要トピックをWebFetch 4. GitHubソースコード：moonbitlang/core（標準ライブラリ）、moonbit-community/rabbita（Web UI）をWebFetchで詳細確認 5. パッケージレジストリ：mooncakes.io をWebSearchで検索 6. Web検索（最終手段）：site:moonbitlang.com OR site:github.com/moonbitlang に限定 出力フォーマット：質問への直接回答（コード例付き）→出典（ファイルパスまたはURL）→注意点（pre-1.0の不確実性など）。

Claude Code Actionによる自動レビューコメントを確認し、修正が必要な指摘は半自動で修正案を提示、問題なければそのままマージできます。 PR の状態（Draft状態、CI未通過、base branch同期の確認）を一括確認して、マージ前に必要な前提条件をクリアできます。 base branch に差分がある場合は rebase + push を自動実行し、その後 CI 再実行時に既存レビューコメント（review comment）を先行確認して効率化できます。 Claude Auto Review のステータス（pending/in_progress/success/failure）をポーリング監視し、完了まで待機または即座に進行するか判定できます。 レビューコメント取得・分析、修正案提示、マージ実行まで、1回の呼び出しで 1 つの PR を完全に処理できます。 GitHub での Pull Request レビュー・マージプロセスを自動化・効率化したい開発チーム Claude Code Action によるAI自動レビューを導入済みで、その結果を素早く確認したいエンジニア base branch 同期や CI 再実行時のレビューコメント確認を手動で行うのが煩雑に感じているリードディベロッパー 複数 PR を同時管理していて、ボトルネックを解決したい組織 このスキルは Claude Code Action による自動レビュー結果の確認と PR マージを半自動化するワークフローです。 対象 PR の決定：引数で PR 番号を指定、または現在のブランチに PR がある場合はそれを対象、どちらもない場合は Ready 状態の PR を一覧表示してユーザーに選択させる（1回の呼び出しで処理するのは必ず 1 つのみ）。 Step 1: PR状態確認 + base branch同期：gh pr view で PR の状態（Draft/CI 未通過等）を確認、git fetch で base branch との差分を確認。Draft は解除するか確認、CI 未通過は待機するか確認。base branch 差分がある場合は rebase + push を実行し、既存レビューコメントを先行確認する。 Step 2: Claude Auto Review 完了確認：gh pr checks で「Claude Auto Review」ステータスを確認、pending/in_progress なら 20～30秒間隔でポーリング待機、success/failure なら次へ。 Step 3: レビューコメント取得・分析：gh api で claude[bot] の全レビュー情報を取得、Review コメント（置き入れ、suggest 等）を分析。 Step 4: 対応判定と修正：APPROVED なら次へ、CHANGES_REQUESTED なら修正案を提示してユーザーに対応させる。 Step 5: マージ実行：gh pr merge で指定マージ戦略（squash/rebase/merge commit）に基づいてマージ完了。

既に実装されている機能の仕様変更をする際に、要件定義書→基本設計→コード→テストを一貫して同期させます。 変更内容の種別（見た目のみ/動作ロジック変更/機能追加）を自動判定し、必要な更新範囲を特定します。 変更したい機能が他の機能に依存している場合の影響範囲を、依存グラフから自動抽出して可視化します。 仕様書の統一基盤（unified-base）を確認し、新しい概念が出た場合は用語集（glossary）に自動追記します。 API変更がある場合、openapi.yaml の存在確認と更新を含めた一括チェックができます。 開発チームのリーダーで、仕様変更の影響範囲を正確に把握したい方 プロダクトマネージャーで、要件変更時に開発側への負担を最小化したい方 技術仕様書とコード実装のズレを防ぎたい方 複雑なシステムで、変更による予期しない副作用を事前に検出したい方 分析フェーズでは①該当Spec読み込み、②2段階探索によるコード全体把握、③spec-map.yml による依存Spec健全性チェック（confirmed == spec_version の確認）、④openapi.yaml 存在確認（API変更時）を実施します。変更種別を自動判定し、見た目変更のみならばコード修正のみ、動作変更なら要件定義書・基本設計・コード・テスト全て同期更新を行います。依存グラフ影響分析では推移的閉包を構築し、直接依存と推移的依存を区別して影響範囲を特定します。循環依存検出、dependency-graph.md との突合も含まれます。

React + TypeScript フロントエンド・Python Lambda バックエンド・Firehose・S3 Iceberg データレイク・Athena クエリからなるシステム全体のアーキテクチャを把握できます。 Cognito 認証フロー（OAuth PKCE code flow）・JWT Authorizer・ユーザー ID 管理の詳細を確認できます。 FLAGS ビットマスク（睡眠不足・頭痛・腹痛・運動・アルコール・カフェイン）の仕様と、Firehose・S3・Glue・Athena のデータフローを理解できます。 Terraform モジュール依存関係・状態管理（S3 バケット・DynamoDB ロック）・初回デプロイ後の設定手順を確認できます。 Cognito callback_urls ↔ Amplify domain の循環依存を回避し、GitHub Secrets を正しく設定できます。 health-logger プロジェクトの全体像を理解し、設計・実装を進めたい開発者 AWS インフラ（Cognito・Lambda・Firehose・S3・Athena）の連携を詳しく知りたい人 Terraform で infrastructure as Code を管理し、初回デプロイから本番デプロイまでを正確に実行したい人 フロントエンド・バックエンド・インフラを横断的に修正・拡張したい人 React+TS Amplify フロントエンド → API Gateway → Lambda Python 3.13 バックエンド → Firehose・Athena・S3 Iceberg データレイク・Glue カタログの構成です。Cognito User Pool + Hosted UI で OAuth PKCE code flow を実装し、フロントエンド @aws-amplify/auth v6 でトークン取得、API は JWT Authorizer で sub クレームをユーザー ID として使用します。POST /records では Lambda create_record が Pydantic バリデーション後、Firehose に JSON Lines 形式で出力、S3 Iceberg テーブル化。GET /records/latest では Lambda get_latest が Athena StartQueryExecution で最大10秒ポーリング後、JSON で返却。FLAGS は6ビット（睡眠不足=1, 頭痛=2, 腹痛=4, 運動=8, アルコール=16, カフェイン=32）でビットマスク化。Terraform モジュール依存関係は cognito → amplify・apigw・lambda、s3tables → glue → firehose → lambda。状態管理は health-logger-tfstate-prod S3 バケット・health-logger-tflock-prod DynamoDB ロック・ap-northeast-1 リージョン・143944071087 アカウント。初回 apply 後、amplify_app_url・lambda_artifacts_bucket 確認、GitHub Secrets 更新、terraform.tfvars の cognito_callback_urls・cors_allow_origins を Amplify URL に更新して再 apply する必要があります。

会計・経費・タスク・コミュニティなど多様な情報源（freee・GitHub・Discord）に対して、1つのクエリから必要な情報だけを並列で検索・取得できます。 クエリタイプを自動判定し（「売上は？」→freee優先、「PR数は？」→GitHub優先など）、各ソース別に最適なクエリに変換して同時実行します。 Discord Chrome自動操作はブラウザ起動が必要な場合のみ後続実行し、freee・GitHubの結果を先に返すため、レスポンス時間を短縮できます。 会計データ・開発タスク・コミュニティ情報を一度の質問で統合的に把握でき、ビジネス判断のための情報収集を効率化できます。 freee・GitHub・Discordを日常的に活用する個人事業主や小規模スタートアップの経営者 売上・経費・タスク進捗を一覧で確認し、日次・週次のビジネス状況判断を迅速に行いたい事業責任者 複数システムにまたがる質問（「未払経費と未クローズタスク」など）に素早く答える必要があるアシスタント・オペレーター GitHub Issues・freee・Discordチャンネルを横断的に検索して、組織全体の進捗を把握したいプロジェクト管理者 本事業所の利用可能ソースはfreee（MCP）・GitHub（gh CLI）・Discord（Chrome自動操作）の3系統。クエリタイプ別ソース選択テーブルで会計・経費→freee優先、開発費・工数→GitHub優先、コミュニティ→Discord優先など8パターンを規定。ソース別クエリ変換：freee は/api/1/deals（日付範囲取引）・/api/1/trial_balance（試算表）・/api/1/expense_applications（承認待経費）・/api/1/invoices（未入金請求書）；GitHub はgh issue list（キーワード・ラベル検索）・gh pr list（PR一覧）・gh api repos/.../milestones（進捗）・gh issue view（詳細）；Discord はmcp__claude-in-chrome__navigate（チャンネル移動）・mcp__claude-in-chrome__get_page_text（テキスト取得）・キーワード検索。freee・GitHub・Discordは独立しているため並列実行し、クエリ分解→並列実行→結果マージ・重複排除・統合回答。Discord Chrome操作はブラウザ起動が必要な場合は後続で取得。

ドメイン管理の自動化: ドメイン一覧取得、詳細情報取得、更新・移管などを API 経由で操作できます。 DNS レコード操作: A、AAAA、CNAME、MX、TXT、SRV など各種レコードの CRUD 操作をプログラムで実行できます。 SSL/TLS 証明書管理: 証明書発行・更新・Let's Encrypt 統合などを API で自動化できます。 メールボックス・転送管理: メールボックス作成・削除、エイリアス設定、メール転送ルールを自動で構築できます。 API キーの安全な管理とベストプラクティス: 認証方法、レート制限対応、エラーハンドリング、トラブルシューティングを実装できます。 複数ドメインを管理しており、DNS・SSL 設定の手作業を削減したい人 Gandi でのドメイン・メール運用を自社システムと連携させたい開発者 Let's Encrypt 統合による自動 SSL 証明書更新を導入したいサーバー管理者 Gandi API の詳細な使い方を学びながら、実装例・ベストプラクティスを参照したい人 スキル構成: api_basics.md（API認証・セットアップ）、domain_management.md（ドメイン管理 API）、dns_records.md（DNS レコード操作）、ssl_certificates.md（SSL 証明書管理）、email_management.md（メールボックス管理）、common_patterns.md（よく使うパターン集）。 使い方: (1) api_basics.md で認証とセットアップ → (2) 目的に応じて各リファレンス参照 → (3) common_patterns.md で実践例学習。前提条件：Gandi アカウント、Personal Access Token、REST API 基礎知識。 設計思想: (1) 公式ドキュメント優先 (2) 実践重視（よく使うエンドポイント・コード例中心） (3) セキュリティ重視（API キー安全管理明記） (4) 最小限の情報。 API キー管理: 環境変数で管理、バージョン管理にコミットしない、定期的にローテーション、最小限権限のみ付与。レート制限対応、エラーハンドリング（401 Unauthorized、429 Too Many Requests、404 Not Found）を実装。

Epic（大型機能開発）の全ステップを体系的に実行できます。 Story（小分割タスク）の抽出・管理・実装割り当てを自動化できます。 Clean Architecture・テスト戦略などのベストプラクティスに基づいた実装をガイドします。 テスト（ユニットテスト・インテグレーションテスト・受け入れテスト）の作成・実行を管理できます。 Git ブランチ・コミット・Pull Request作成までの一連のワークフローを進行できます。 Epic完了状況をリアルタイム追跡できます。 複数のStoryにまたがるEpic実装の全体進捗を管理したい開発チームリード ベストプラクティスに準拠した品質の高い実装を確実に進めたい開発者 実装→テスト→レビューの一連フローを効率化したい人 既存のEpicの完了状況を確認し、実装漏れを検出したい人 このスキルはユーザーが直接実行するスキル（エージェント呼び出し禁止）です。Git操作・GitHub PR作成などの副作用を伴うため、disable-model-invocation: trueに設定されています。 実行方法 `bash /implement-epic 88 # Epic #88を実装 /implement-epic issue-88 # 同上（別フォーマット） /implement-epic # Epic選択画面を表示 ` Epic選択フロー .epic/ディレクトリをスキャンして全Epic一覧を取得 各Epic のoverview.mdから Issue番号・タイトル・Story完了数を抽出 AskUserQuestionで複数選択肢を表示（完了済みEpicは✅マーク） ユーザー選択に基づいて実装開始 実行前の必須確認 1. ティア確認：gh issue viewでラベルを確認 - tier:major → 通常フロー - tier:minor/micro → 自律実装フロー 2. ベストプラクティス読み込み - backend/docs/BEST_PRACTICES.md（Clean Architecture・テスト戦略・アンチパターン） - frontend/docs/BEST_PRACTICES.md（コンポーネント設計・Hook パターン） 3. 仕様読み込み - specs/acceptance/*.feature（受け入れ条件） - specs/openapi/openapi.yaml（API仕様） 禁止事項：他のスキル・エージェントからの呼び出しは厳禁（リポジトリ状態破壊のリスク）

次のタスクを自動選定: GitHub Project の Todo アイテムから実装可能な Issue を自動で取得し、優先度の高いものを選びます。 TDD パイプラインの自動実行: Issue のテストパターンを自動判定し、適切なテスト駆動開発（TDD）パイプラインを確認なしで最後まで実行できます。 ローカルでの自動検証: local-ci コマンドでコードチェック・テスト・ビルドを並列実行し、PR 作成前に品質を確認します。 PR 作成と CI 監視の自動化: 実装完了後、自動で PR を作成し、リモート CI の実行を監視・レビュー対応・修正サイクルを自動で回します。 レビュー指摘の自動処理: スコープ内の指摘は自動修正し、スコープ外の指摘は別 Issue に切り出します。 実装フェーズに入ったとき、どのタスクから始めるか迷う開発者 テスト駆動開発（TDD）を実践したいが、手続きが煩雑に感じるエンジニア PR 作成から マージまでの手作業を最小化したいチーム Issue ベースの開発フローを確立したいプロジェクト このパイプラインは「確認なしで自律的に最後まで進行」するのが特徴です。確認不要な項目（Issue 選定、classify-files 結果、レビュー指摘の修正、テストの Red 化、local-ci リトライ、PR 作成、PR マージ）は自動で進め、確認が必要な項目（classify-files が判定不能な場合、リトライ上限到達、設計判断が必要な場合）のみユーザーに確認します。 CI チェックについて、local-ci（ローカル実行、このパイプラインで使用）と remote CI（GitHub Actions、PR マージ後に監視）を区別します。PR 作成後は /pr-watch スキルで remote CI を監視しますが、サンドボックス環境の制約を考慮し、gh run view --log-failed でログを取得します（gh api の Azure Blob Storage リダイレクトはサンドボックスで遮断されるため使用禁止）。

brainbase-uiのコード変更時に、バージョン番号を自動的に更新する手順を提供します。 MAJOR・MINOR・PATCH の3段階で、変更内容に応じたセマンティックバージョニングを適用できます。 package.json と index.html（デスクトップ・モバイル両対応）に統一されたバージョンを自動反映できます。 サーバーの再起動コマンドを自動実行し、バージョン変更を即座に反映できます。 コミットメッセージに自動的にバージョン情報を付与し、変更履歴を正確に追跡できます。 brainbase-ui の開発・保守を担当する開発者 UIのリリース管理を確実にしたいプロジェクトマネージャー バージョン管理の手順をチーム全体で統一したい開発リーダー ユーザー向けにUIバージョンを常に正確に表示したい製品チーム バージョン形式は「v0.0.0」（vプレフィックス必須、セマンティックバージョニング採用）。更新基準：破壊的変更は MAJOR、新機能追加は MINOR、バグ修正・小さな改善は PATCH。更新手順：①package.json の"version"フィールド更新、②index.html の2箇所（デスクトップ版: id="app-version"、モバイル版: id="mobile-app-version"）を手動更新、③サーバー再起動（ps aux | grep "node.*server.js" | grep -v grep | awk '{print $2}' | xargs killで停止後、nohup node server.js > /tmp/brainbase-ui.log 2>&1 &で起動）、④コミットメッセージに「feat(ui): 説明 (v0.1.1)」形式でバージョン含める、⑤デスクトップ左ナビ最上部・モバイルセッション一覧ヘッダーで表示確認、curl http://localhost:3000/api/versionで確認可能。実装場所：package.json（正本）、server.js（/api/versionエンドポイント）、index.html（バージョン表示要素）、app.js（loadVersion()関数）、style.css（.app-versionスタイル）。

コード変更をリモートにプッシュしてから、Capistrano（bundle exec cap production deploy）で本番サーバーに自動デプロイします Gitの競合があれば自動でリベース（rebase）してリトライするため、手動での競合解決が不要です デプロイ後、本番環境（/var/www/deploys/portalshit）のPumaが自動再起動され、新しいコードがすぐに反映されます デプロイ前に未コミット変更の確認を行い、問題のあるデプロイを防ぎます portalshit.netの開発チーム（デプロイ手順を3コマンドから1コマンドに短縮） Capistranoを使ったRuby on Rails本番運用を自動化したい開発者 デプロイエラーを減らしたい開発チーム GitHub push後のデプロイを確実に実行したいプロジェクト このスキルは4つのステップで構成されます。ステップ1では git status で未コミット変更がないことを確認します。ステップ2では git push でリモートにプッシュし、リジェクトされた場合は git pull --rebase してからリトライします。ステップ3では bundle exec cap production deploy を実行し、現在のHEAD（config/deploy.rb で設定済み）がデプロイ先 /var/www/deploys/portalshit on portalshit.net に反映されます。Pumaはsystemctlで自動再起動されます。ステップ4ではデプロイ結果を確認して報告します。許可されたツールはBashの以下コマンドに限定：bundle exec cap *, git *, npm *。

OWASP Mobile Top 10 の10個のリスク項目（不正なプラットフォーム使用・危険なデータ保存・通信暗号化不備・不正な認証など）に基づいて、iOSアプリのセキュリティを体系的にレビューできます。 Keychain・UserDefaults・Info.plist の設定を検査し、パスワード・トークン・APIキーなどの機密情報が適切に保護されているか診断します。 App Transport Security（ATS）の設定を確認し、強制HTTPS・証明書ピンニングが正しく実装されているか、または無効化されていないかをチェックします。 ハードコードされたシークレット・APIキー・パスワードを自動検索し、コード内に隠れている危険を洗い出します。 デバッグ用ログに機密情報が出力されていないか、print/NSLog の呼び出しを検査し、本番環境での情報漏洩リスクを低減します。 App Store リリース前にセキュリティレビューを実施したい iOS 開発者・技術リード OWASP Mobile Top 10 に準拠したセキュリティチェックリストが必要なセキュリティエンジニア Keychain・BiometricAuthenticationなどの実装が正しいか確認したいアプリ設計者 ユーザーの個人情報やAPIトークンを安全に保護するコードを書きたい開発チーム OWASP Mobile Top 10 チェック項目は M1（Info.plist ATS設定・権限の最小化）、M2（Keychain使用・UserDefaults に機密情報なし）、M3（HTTPS強制・証明書ピンニング）、M4（BiometricなしのKeychain保護・Token管理）を含みます。Swift セキュリティパターン検査項目は、パスワード・トークンがKeychainに保存（UserDefaults に機密情報なし、ハードコードシークレットなし）、Info.plistでATSが無効化されていない、URLSessionカスタム証明書検証の適切な実装、デバッグログに機密情報が出力されていないことです。コード検査パターンとして、ハードコード検索は grep -rn "password\|secret\|apiKey\|api_key" Sources/、print/NSLog 確認は grep -rn "print(\|NSLog(" Sources/ を実行し、マッチした行を検視します。

多くのブール型プロップ（true/falseを切り替えるプロップ）で膨れ上がったReactコンポーネントを、Compound Components（複合コンポーネント）パターンで整理し直します。 コンポーネント構成のベストプラクティス（stateのリフトアップ、context経由の状態共有、render propsの代わりにchildrenコンポジション）を適用し、コードの可読性と保守性を向上させます。 React 19の新API（use()による自動unwrap、forwardRef廃止など）に対応したモダンなコンポーネント設計ができます。 ライブラリとして再利用可能で、人間とAIエージェント双方が読みやすいコンポーネント設計を実現します。 Reactでコンポーネントの複雑さが増してきた、ブール型プロップが増殖している開発者 複数の組み合わせをサポートする柔軟なコンポーネントライブラリを構築したい人 React 19にアップグレード予定で、新APIの使い方を学びたい人 コンポーネント設計のレビューや改善提案をAIエージェントに任せたい人 このスキルは4つのルールカテゴリで構成されます。優先度1のComponent Architecture（高影響度）ではarchitecture-avoid-boolean-props（ブール型プロップ廃止）とarchitecture-compound-components（複合コンポーネント構造）が必須です。優先度2のState Management（中影響度）ではstate-decouple-implementation、state-context-interface、state-lift-stateでstateを一元管理します。優先度3のImplementation Patterns（中影響度）ではpatterns-explicit-variants（明示的バリアント）、patterns-children-over-render-props（childrenコンポジション）、patterns-polymorphic-as-prop（asプロップ）、patterns-slot-pattern（Slotパターン）、patterns-controlled-uncontrolled（制御/非制御モード両対応）を適用します。優先度4のReact 19 APIs（中影響度）ではreact19-api-changesで新API対応を行います。各ルールにはreferences/ファイル配下に詳細説明・誤ったコード例・正しいコード例が含まれます。

メニュー構造とサービス定義を一元管理: モジュール定義にメニュー（画面あり）とサービス（画面なし）を組織階層で整理し、新しい機能を素早く追加できます。 複数のユーザー層に応じた機能配分: manager、admin、backoffice など5つのmenuGroupで役職別・権限別にメニューを自動振り分けできます。 新規メニュー追加が3ステップで完了: モジュール定義 → ページ作成 → 権限設定の3ステップで、複雑な設定なく新しい画面をシステムに統合できます。 APIエンドポイントとビジネスロジックを分離実装: サービス定義でAPI実装とUI実装を分けることで、複数の画面から同じロジックを再利用できます。 Dockerコンテナなど外部依存を統一管理: モジュールが必要とするDB・API・キャッシュなどをcontainersプロパティで一括定義し、ヘルスチェックも自動化できます。 プロダクトマネージャー: 新しい機能画面を素早く追加したい、複数の組織層に異なる機能を提供したい。 バックエンド開発者: APIエンドポイント設計時にモジュール全体の構成を把握し、一貫性のある実装ができます。 フロントエンド開発者: menuGroupの概念で権限ベースのUIレイアウトが自動化され、ページ作成に集中できます。 システムアーキテクト: 新規プロジェクトのモジュール分割やコア機能とアドオン機能の分離を設計する際に活用できます。 プロジェクトは「ビジネスモジュール定義層」（apps/web/lib/modules）と「メニューページ実装層」（apps/web/app/(menus)）の2層構造で構成されます。各モジュールは module.tsx で定義され、menuGroups（user、manager、backoffice、permission、admin）によって機能を役職別に整理します。新規メニュー追加は①モジュール定義にメニューを追加（requiredRoles と menuGroup を指定）→②ページコンポーネントを作成の2ステップです。サービス定義では、画面なしのAPI・ビジネスロジックをモジュールに組み込み、他機能から呼び出し可能にします。サービスは serviceId、apiEndpoints、description を含む構造で定義されます。モジュールが Docker コンテナに依存する場合は、containers プロパティで定義し、healthCheckUrl で定期的にヘルスチェックを実行します。

FAPI 1.0 Baseline/AdvancedプロファイルやFAPI CIBAの実装・修正を体系的に進められます。 mTLS、PAR（Pushed Authorization Request）、JARM（JWT Secured Authorization Response Mode）などの高度なセキュリティ機能を実装できます。 リクエストのスコープとテナント設定に基づくFAPIプロファイル自動決定ロジックを理解し、適切に検証・実装できます。 63件のFAPI 1.0 Advanced OPテストとRFC要件のマッピングを参照して、OIDF認定基準を満たす実装を実現できます。 金融機関向けOAuth 2.0/OIDC認可サーバーを開発・保守するエンジニア FAPI準拠のセキュリティ実装が必要な決済・銀行系プロダクトの開発チーム OIDF（OpenID Foundation）認定を取得・維持する必要があるシステム担当者 mTLSやPAR、JARMなどの高度なセキュリティ機能の実装・検証を担当する開発者 FAPI（Financial-grade API）開発ガイドは、金融グレードセキュリティを実現するOIDC/OAuth 2.0プロファイル実装の詳細資料です。 FAPIには4つのプロファイルがあります：FAPI 1.0 Baseline（基本的なセキュリティ要件）、FAPI 1.0 Advanced（PAR/JARM/mTLS必須の高度な要件）、FAPI CIBA（CIBA+FAPI組み合わせ）、Sender-constrained Access Token（mTLSバインディング）。プロファイルは優先度順にリクエストのスコープとテナント拡張設定で自動決定されます（priority: fapi_advance_scopes > fapi_baseline_scopes > openid > デフォルト）。 モジュール構成は、idp-server-core-extension-fapiで FAPI Baseline/Advanced検証、mTLSクライアント認証を実装。idp-server-core-extension-fapi-cibaでFAPI-CIBA検証を実装。idp-server-coreのコアにPAR（OAuthPushedRequestParameters）とJARM（JarmCreatable）実装があります。詳細な実装ガイド、Gap分析、OPテストマッピング表が参考資料として提供されています。