dependabot-alertslisted

# Dependabot Alerts 調査・修正方針策定スキル GitHub の Dependabot alerts を取得・分析し、脆弱性の状況を調査した上で、拡張思考を活用して修正方針を深く検討・策定するためのスキル。GitHub 操作は MCP を優先し、使えない環境では `gh` CLI にフォールバックする。 ## 前提条件 - レビュー対象の Dependabot alerts が有効な GitHub リポジトリにアクセスできること - 以下のいずれかが利用可能であること: - **推奨**: GitHub MCP サーバー（`mcp__github__list_dependabot_alerts`, `mcp__github__get_dependabot_alert` など） - **フォールバック**: `gh` CLI（`gh auth login` 済み、`security_events` スコープが必要。不足時は `gh auth refresh -s security_events` を案内する） > GitHub MCP が使える場合は必ず MCP を優先すること。同じセッション内で MCP と `gh` を混在させるのは避け、原則どちらか一方に統一する。 ## ワークフロー概要 このスキルは「調査フェーズ」「修正方針策定フェーズ」「修正実行フェーズ」の3段階で構成される。調査フェーズでアラートの全体像を把握した後、修正方針策定フェーズで拡張思考を用いて各脆弱性への対応を深く検討し、修正実行フェーズでユーザーの承認を得てから実際の修正・PR作成を行う。 ``` [Step 1: 実行環境の確認（MCP or gh）] → [Step 2: リポジトリ特定] → [Step 3: アラート取得] → [Step 4: 分析・分類] → [Step 5: 詳細調査] → [Step 6: 拡張思考による修正方針の検討] → [Step 7: 修正計画書の生成] → [Step 8: 修正実行の確認（ユーザー判断）] → [Step 9: 作業ブランチ作成・修正実行] → [Step 10: コミット・プッシュ確認（ユーザー判断）] → [Step 11: Pull Request 作成] ``` --- ## 調査フェーズ ### Step 1: 実行環境の確認 GitHub 操作に使えるツールを確認し、以下の順で優先する。 1. **GitHub MCP が利用可能か**: 利用可能なツールに `mcp__github__list_dependabot_alerts` / `mcp__github__get_dependabot_alert` などが含まれているかを確認する。含まれていれば MCP を使う。 2. **`gh` CLI が利用可能か**: `gh auth status` で認証済みかを確認する。MCP が使えず `gh` が使えればフォールバックとして `gh` を使う。 3. どちらも使えない、あるいは `gh` が `security_events` スコープ不足の場合は、`gh auth refresh -s security_events` の案内または MCP サーバー設定の案内を出して中断する。 ユーザーへの最初のテキスト出力で、「どちらを使って調査を進めるか」を1行で明示すること（例: `GitHu