Skill.md検索

Dart/Flutterパッケージの配布アーカイブを静的にセキュリティ監査：公開されているパッケージをダウンロードし、悪意のあるコード・データ通信・外部ファイル読み込みなどのリスク要因を自動検出します。 サプライチェーンリスク（依存関係の危険性）を根拠付きで分析：パッケージの依存関係から、隠れたセキュリティ脅威を特定し、監査レポートで明示的に説明します。 ネイティブコードやHook処理の不審な挙動を検出：Android・iOS・FFI周りの予想外のコード実行やネットワーク通信を発見します。 導入前の意思決定を加速：パッケージの安全性を根拠のあるレビュー結果として提示し、採用判断をサポートします。 セキュリティを重視するFlutter・Dartプロジェクトのチーム 外部パッケージの導入審査を担当する開発者・アーキテクト サプライチェーン攻撃のリスク低減が必要な企業・組織 依存パッケージの更新前に信頼性を確認したい保守者 dart pub unpack --no-resolveを使用し、対象パッケージの公開アーカイブを取得して実行なし（静的確認のみ）で監査します。確認対象は以下の通りです：(1)パッケージそのものの公開アーカイブ、(2)Dart-only環境で安全に確認可能な依存情報、(3)Dart・Android・iOS・Windows・Linux・FFI・Hook関連の不審なコード、(4)依存関係から見えるリスク要因。実行禁止の作業：dart run・dart build・dart test・任意スクリプト実行。許可される操作はdart pub unpack・dart pub get・dart pub deps --json・ファイル解析用のfind・grep・pythonなど。監査専用の一時ディレクトリ.audit_pub_package_tmp/配下で作業し、プロジェクト外への変更は禁止。バージョン省略時は実取得版を監査対象とし、レポートに明記必須。「安全である」との断定を避け、「レビュー範囲では明白な悪意ある挙動は見つからなかった」までの限定的な判断に留めます。

パッケージの内部構造を静的に解析し、本当の機能規模を把握できる - dart pub unpackで取得したアーカイブを分析し、コア機能と周辺機能の境界を明確にし、本当に必要な機能かどうか判定できます。 依存関係の重さ・複雑さを定量的に評価できる - 直接依存・推移依存の数、ネイティブプラグイン・FFI・ビルドスクリプトの有無など、導入時の複雑さの全体像を把握します。 自前実装した場合のコスト・リスク・期間を現実的に見積もれる - パッケージのコード規模・設計複雑さから逆算し、「自前で実装するなら何が必要か」を具体的に示します。 プラットフォーム対応状況と更新保守の見込みを判定できる - iOS・Android・Web・Desktopなど各プラットフォームの実装有無、最終更新時期、メンテナンスの継続性を評価します。 導入と自前実装の分岐点を明確にできる - 「この複雑さなら自前でよい」「ここからは自前だと危険」といった判定基準を示し、意思決定を支援します。 Flutter・Dartアプリケーション開発者 - サードパーティパッケージの導入を判断する際に、長期的な保守性と技術負債を考慮したい開発者 プロダクト企画・技術選定担当者 - 依存パッケージを増やすことで得られるメリット・デメリットを可視化し、意思決定したい人 アーキテクト・テックリード - プロジェクト全体の技術負債を管理し、パッケージ導入の判断基準を統一したい人 セキュリティ・コンプライアンス担当者 - 外部パッケージの導入前に、継続保守性とセキュリティ更新の見込みを確認したい人 Dart/Flutterパッケージを導入すべきか自前実装すべきかを判断するための技術調査を行います。/explain-flutter-package package_name [version]で呼び出され、dart pub unpack --no-resolveで取得した実際の配布アーカイブを静的に分析します。パッケージの主要機能・内部構成・依存関係数と複雑さ・プラットフォーム対応状況（iOS/Android/macOS/Web/Desktop）・Hook・build script・FFI・native assetなどの追加複雑性・最終更新時期と保守見込み・自前実装時のコストとリスク・最終判定を整理します。実行禁止（dart run・flutter run・build・test・shell script）により静的確認に限定し、find・grep・dart pub deps --jsonなどの安全なコマンドのみ使用、.explain_pub_package_tmp/配下の一時ディレクトリのみでファイル生成・保存を行い、プロジェクトルート外のファイル変更はしません。

パッケージの公開アーカイブを静的に解析し、悪意あるコードやセキュリティリスクがないかを調べられます。実行せずにコードだけを検査するため、安全に監査できます。 推移的依存（そのパッケージが依存する他のパッケージ）も再帰的に確認でき、サプライチェーン全体のリスクを把握できます。隔離した一時プロジェクトで実際に依存を解決し、見落としがちなリスクを検出します。 シークレット漏洩、外部通信、動的コード実行、ネイティブコードなどの不審な兆候を検出できます。パッケージの本来の目的と乖離した危険な挙動を見つけられます。 Android・iOS・macOS ネイティブコード、Hook、ビルド時スクリプトなどの隠れたリスクも確認できます。プラットフォーム固有の危険な操作を検出できます。 根拠付きのレポートを得られます。「安全である」という過度な判断ではなく、「レビュー範囲では明白な悪意ある挙動は見つからなかった」という慎重で信頼できる評価を受けられます。 pub.dev から未知のパッケージを導入する前に、セキュリティリスクを確認したい方 依存パッケージの更新が実装に影響する懸念がある方 サプライチェーンセキュリティを重視する企業・プロジェクトの開発者 社内パッケージレビュー基準を厳格に保ちたい方

パッケージの機能と内部構造を自動分析 — 公開アーカイブから機能概要、コード構成、ファイル構成を静的に調査し、何ができるパッケージなのかを整理します。 依存関係と複雑性を見える化 — 依存するライブラリの数・重さ、プラットフォーム対応状況（iOS/Android/Web等）、ネイティブコード・Hook・FFI の有無を自動検出し、複雑さを定量的に説明します。 導入 vs 自前実装の判断材料を提供 — メンテナンス状況、実装の複雑さ、自前実装にかかるコストとリスクを根拠付きで説明し、「使うべきか、自分で作るべきか」の判断を支援します。 静的分析のみで安全に調査 — ビルドやテスト実行をせず、ソースコード閲覧と基本的なコマンドだけで分析するため、環境構築の手間がかかりません。 Dart・Flutter開発者 — 新しいパッケージを導入すべきか判断に迷っているとき、技術的な根拠を得たい人 プロジェクトマネージャー — 外部ライブラリ導入のコストと効果を、技術的に理解した上で判断したい人 アーキテクトや技術リード — 依存関係の管理とメンテナンス性のバランスを考慮した判断をしたい人