auditはpush前にかける：依存関係チェックを品質ゲートへ入れる

# pnpm audit --prodをpre-pushのverify:pushへ組み込み、フォーマット、型、テスト、Clawpatch、Gitleaksと同じ流れで依存関係リスクを止める設計メモです。

依存関係の脆弱性チェックは「気が向いたときに見る」より、push前の品質ゲートへ入れておく方が強いです。このブログCMSでは、verify:push の中に pnpm audit --prod を追加し、本番依存の既知脆弱性をpush前に検出する形にしました。

何が走るのか

pre-pushでは次の順で確認します。

pnpm run format:checkpnpm run typecheckpnpm run testpnpm run audit:prodpnpm run clawpatch:pushpnpm run secrets:history

audit:prod は pnpm audit --prod です。開発用パッケージまで全部止めるとノイズが増えるので、まず公開サイトに乗る本番依存を優先します。

• 既知脆弱性を持つ依存関係の混入

• うっかり更新したパッケージのリスク見落とし

• レビュー前に壊れている変更がpushされること

auditは既知情報を見る仕組みです。まだ公開されていない攻撃や、公開直後の悪意あるバージョンは別の対策が必要です。そこで minimumReleaseAge も組み合わせます。

pre-pushでは次の順で確認します。

pnpm run format:checkpnpm run typecheckpnpm run testpnpm run audit:prodpnpm run clawpatch:pushpnpm run secrets:history

audit:prod は pnpm audit --prod です。開発用パッケージまで全部止めるとノイズが増えるので、まず公開サイトに乗る本番依存を優先します。

• 既知脆弱性を持つ依存関係の混入

• うっかり更新したパッケージのリスク見落とし

• レビュー前に壊れている変更がpushされること