@aramassa/ai-rules 0.1.2 → 0.1.5

package/artifact/instructions/rules/development/chrome-extension-javascript.md

@@ -0,0 +1,190 @@
+---
+type: development-rules
+category: chrome-extension
+focus: javascript-patterns
+language: javascript
+applyTo: "**/*.js"
+---
+
+# Chrome Extension Manifest V3 - JavaScript/Service Worker Patterns
+
+## Service Worker パターン
+
+### イベント駆動型設計
+
+Service Worker はイベント駆動型のアーキテクチャを採用し、永続的な状態を持たずに動作します。主要なイベントリスナーの設定が必須となります：
+
+- **chrome.runtime.onInstalled**: 拡張機能のインストール、更新、有効化時の初期化処理を実装
+- **chrome.action.onClicked**: 拡張機能アイコンクリック時の動作を定義
+- **chrome.runtime.onMessage**: 他のコンポーネントからのメッセージ受信処理を設定
+- **chrome.alarms.onAlarm**: 定期実行や遅延実行のタイマーイベントを処理
+
+Service Worker クラスの初期化では、constructor でイベントリスナーの設定を行い、各イベントハンドラーは bind() でコンテキストを適切に管理します。非同期処理では Promise を適切に返し、エラーハンドリングを確実に実装することが重要です。
+
+初回インストール時には chrome.storage.local を使用してデフォルト設定を保存し、拡張機能の基本状態を確立します。
+
+### 状態管理パターン
+
+Service Worker の短命な性質により、永続的な状態管理には chrome.storage API の活用が必須です。
+
+**chrome.storage.local**: 無制限の容量でローカルデータを保存し、高速アクセスが可能です。大容量データや一時的なキャッシュに適しています。
+
+**chrome.storage.sync**: デバイス間同期が可能ですが、容量制限（100KB総容量、8KB/アイテム）があります。ユーザー設定や重要な設定データの同期に使用します。
+
+状態管理クラスでは静的メソッドを使用してデータの保存、読み込み、削除を統一的に処理します。sync ストレージ使用時は事前にデータサイズを検証し、容量制限を超える場合はエラーを発生させます。
+
+設定の同期では JSON.stringify() でサイズを測定し、制限内であることを確認してから保存処理を実行します。
+
+## declarativeNetRequest API JavaScript パターン
+
+### 動的ルール管理
+
+動的ルールは実行時に chrome.declarativeNetRequest.updateDynamicRules() API を使用して管理されます。
+
+**ルール追加**: addRules パラメータに新しいルール配列を指定してルールを追加します。各ルールには一意の ID と適切な優先度を設定する必要があります。
+
+**ルール削除**: removeRuleIds パラメータに削除対象のルール ID 配列を指定してルールを削除します。
+
+**ルール取得**: getDynamicRules() メソッドで現在有効な動的ルールの一覧を取得できます。
+
+**制限事項**: 動的ルールには数量制限があり（通常 5000 ルール）、この制限を超えないよう管理が必要です。また、セッションルールは拡張機能の再起動時にリセットされるため、永続化が必要な場合は動的ルールを使用します。
+
+ルール管理クラスでは、ブロッキングルールの追加、特定ルールの削除、現在のルール状態取得などの操作を統一的なインターフェースで提供します。
+
+## コンテンツスクリプトパターン
+
+### DOM 操作の実装
+
+コンテンツスクリプトはウェブページの DOM に直接アクセスし、ページコンテンツとの相互作用を処理します。
+
+**初期化プロセス**: document.readyState をチェックして、ページの読み込み状況に応じて適切なタイミングで処理を開始します。読み込み中の場合は DOMContentLoaded イベントを待機し、完了済みの場合は即座に処理を実行します。
+
+**DOM 処理**: ページ内の特定要素（data 属性を持つ要素など）を querySelectorAll で取得し、各要素に対して必要な処理を適用します。動的に追加される要素に対応するため、MutationObserver を使用してDOM の変更を監視します。
+
+**変更監視**: MutationObserver は childList と subtree オプションを有効にして、ページ全体の要素追加を監視します。新しく追加された要素は nodeType が ELEMENT_NODE であることを確認してから処理します。
+
+**メッセージ通信**: chrome.runtime.onMessage.addListener でメッセージを受信し、アクションタイプに応じて適切な処理を実行します。非同期処理の場合は return true を設定して、適切なレスポンスタイミングを管理します。
+
+**エラーハンドリング**: すべての処理は try-catch でラップし、エラー発生時は適切なエラーレスポンスを送信します。
+
+## メッセージパッシングパターン
+
+### 一回限りのメッセージ
+
+一回限りのメッセージ通信は chrome.runtime.sendMessage() と chrome.tabs.sendMessage() を使用します。
+
+**Popup から Service Worker への通信**: chrome.runtime.sendMessage() でメッセージオブジェクトを送信し、Promise として非同期レスポンスを受け取ります。メッセージには action、data、timestamp を含めて識別と処理を容易にします。
+
+**コンテンツスクリプトへの通信**: chrome.tabs.sendMessage() で特定タブのコンテンツスクリプトにメッセージを送信します。タブ ID を指定して対象を明確にし、適切なレスポンスを受け取ります。
+
+**エラーハンドリング**: 通信失敗時（受信側が存在しない、タブが閉じられた等）は適切にエラーをキャッチし、ユーザーに適切なフィードバックを提供します。
+
+**タイムアウト管理**: 長時間レスポンスがない場合のタイムアウト処理を実装し、UI の応答性を保ちます。
+
+PopupManager クラスでは統一的なメッセージ送信インターフェースを提供し、エラーハンドリングとログ出力を共通化します。
+
+### 長期間接続パターン
+
+長期間接続は chrome.runtime.connect() を使用して持続的な通信チャネルを確立します。
+
+**接続確立**: chrome.runtime.connect() で名前付きポートを作成し、双方向通信チャネルを開きます。接続名（name パラメータ）で通信の目的を明確にします。
+
+**メッセージハンドリング**: port.onMessage.addListener でメッセージを受信し、適切な処理を実行します。メッセージは port.postMessage() で送信します。
+
+**接続監視**: port.onDisconnect.addListener で接続の切断を監視し、必要に応じて自動再接続を実装します。Service Worker の短命な性質により接続が切断される場合があるため、堅牢な再接続機能が重要です。
+
+**リソース管理**: 不要になった接続は適切に切断し、メモリリークを防ぎます。また、接続状態を追跡して無効な接続での送信を避けます。
+
+PersistentConnection クラスでは接続の確立、メッセージ送受信、自動再接続機能を統合的に管理し、アプリケーションロジックから通信の詳細を隠蔽します。
+
+## Offscreen API パターン
+
+### Offscreen ドキュメントの作成
+
+Offscreen API は Service Worker から DOM 操作や特殊 API（クリップボード、音声再生等）にアクセスするための仕組みです。
+
+**既存確認**: chrome.runtime.getContexts() で既存の Offscreen ドキュメントを確認し、重複作成を避けます。contextTypes に 'OFFSCREEN_DOCUMENT' を指定して検索します。
+
+**ドキュメント作成**: chrome.offscreen.createDocument() で新しい Offscreen ドキュメントを作成します。url でHTML ファイルを指定し、reasons で使用目的（DOM_PARSER、CLIPBOARD 等）を宣言し、justification で具体的な利用理由を説明します。
+
+**ライフサイクル管理**: 使用後は chrome.offscreen.closeDocument() で適切に終了し、リソースを解放します。同時に存在できる Offscreen ドキュメントは1つのみです。
+
+**メッセージ通信**: Service Worker から Offscreen ドキュメントへの通信は chrome.runtime.sendMessage() を使用し、target フィールドで送信先を識別します。
+
+OffscreenManager クラスでは Offscreen ドキュメントの作成、終了、メッセージ送信を統一的に管理し、適切なライフサイクル制御を提供します。
+
+## テスト戦略
+
+### Service Worker テスト
+
+Service Worker のテストでは Chrome API のモック化と イベント駆動型動作の検証が重要です。
+
+**API モック**: global.chrome オブジェクトで Chrome 拡張機能 API をモック化し、addListener、set、get などのメソッドを Jest の jest.fn() でモック関数として定義します。非同期 API は mockResolvedValue() で適切な戻り値を設定します。
+
+**イベントリスナーテスト**: 各イベントリスナー（onInstalled、onMessage等）が適切に登録されることを確認し、expect().toHaveBeenCalled() でリスナー登録を検証します。
+
+**非同期処理テスト**: async/await を使用して非同期処理を適切にテストし、chrome.storage の操作やメッセージ処理の結果を検証します。インストール時の初期化処理では、適切なデフォルト値が設定されることを確認します。
+
+**エラーハンドリング**: 異常系のテストケースも含め、API 呼び出し失敗時の適切なエラーハンドリングを検証します。
+
+テストではモック環境の設定、テスト対象クラスのインスタンス化、期待される動作の検証という流れで構造化します。
+
+### E2E テスト
+
+E2E テストでは実際のブラウザ環境で拡張機能の動作を検証します。
+
+**Puppeteer 設定**: ヘッドレスモードを false にして実際の拡張機能読み込みを確認し、--load-extension と --disable-extensions-except フラグで対象拡張機能のみを有効化します。dist ディレクトリにビルド済みの拡張機能を配置します。
+
+**コンテンツスクリプト注入テスト**: 対象ページ（example.com 等）にアクセスし、page.evaluate() でコンテンツスクリプトが正常に注入されたことを確認します。window オブジェクトの拡張機能固有プロパティの存在を検証します。
+
+**ポップアップ操作テスト**: 拡張機能の popup.html に直接アクセスし、UI 要素のクリック、結果の表示を確認します。chrome-extension:// スキームで拡張機能 ID を指定してアクセスします。
+
+**非同期処理**: page.waitForSelector() で動的に生成される要素の出現を待機し、適切なタイムアウト設定で安定したテストを実行します。
+
+**テスト環境管理**: beforeAll でブラウザとページを初期化し、afterAll で適切にリソースを解放します。各テストは独立して実行できるよう設計します。
+
+## デバッグ
+
+### Service Worker デバッグ
+
+Service Worker の効果的なデバッグには適切なログ設定とストレージ管理が重要です。
+
+**デバッグログ設定**: Logger クラスで統一的なログ管理を実装し、タイムスタンプ、ログレベル、メッセージ、関連データを構造化してコンソール出力します。開発環境では詳細ログをストレージに保存し、後から確認できるようにします。
+
+**ストレージログ**: chrome.storage.local にデバッグログを保存し、最新 100 件のみを保持してストレージ容量を管理します。ログの保存に失敗した場合も適切にエラーハンドリングします。
+
+**Chrome DevTools**: chrome://extensions/ の「サービスワーカー」リンクから DevTools を開き、コンソールログ、ネットワーク、ストレージを確認します。
+
+**リアルタイム監視**: Service Worker の活動状況、イベント発生、エラー情報をリアルタイムで監視し、問題の早期発見に活用します。
+
+**ログレベル管理**: log、info、warn、error の適切なレベル分けで、問題の重要度を明確化し、効率的なデバッグを実現します。
+
+## パフォーマンス最適化
+
+### Service Worker 最適化
+
+Service Worker の短命な性質を考慮した効率的なイベントハンドリングが重要です。
+
+**デバウンス処理**: 高頻度で発生するイベント（タブ更新等）にデバウンス処理を実装し、不要な処理の実行を抑制します。Map オブジェクトで複数のデバウンス処理を管理し、各キーに対して個別にタイムアウトを設定します。
+
+**効率的なイベント処理**: タブ更新イベントでは changeInfo.url が変更された場合のみ処理を実行し、不要なイベント処理を避けます。デバウンス関数で遅延実行を設定し、連続する変更を適切に統合します。
+
+**メモリ効率**: 不要なイベントリスナーの削除、タイムアウトの適切なクリア、リソースの確実な解放を実装します。
+
+**バックグラウンド処理の最適化**: 重い処理は適切に分割し、Service Worker の実行時間制限内で完了するよう設計します。
+
+OptimizedBackground クラスでは debouncedHandlers Map でタイムアウト ID を管理し、debounce メソッドで統一的な遅延処理を提供します。
+
+### メモリ管理
+
+拡張機能の長期安定動作にはメモリ効率的なデータ管理が必要です。
+
+**LRU キャッシュ実装**: Map オブジェクトでキャッシュを実装し、最大サイズ（maxCacheSize）を設定して容量制限を管理します。容量上限に達した場合、最も古いエントリ（LRU: Least Recently Used）を自動削除します。
+
+**アクセス順序管理**: キャッシュアクセス時にエントリを削除・再追加することで、アクセス順序を更新し、LRU アルゴリズムを実現します。Map の反復順序特性を活用してエントリの新旧を判定します。
+
+**メモリ効率**: 不要になったデータは即座に削除し、メモリリークを防ぎます。定期的な clear() でキャッシュ全体をリセットし、長期実行時のメモリ蓄積を回避します。
+
+**データサイズ管理**: 大きなオブジェクトのキャッシュ時は適切なサイズ制限を設定し、メモリ使用量をコントロールします。
+
+DataManager クラスでは静的メソッドでキャッシュ操作を統一し、set、get、clear の基本操作でメモリ効率的なデータ管理を提供します。

package/artifact/instructions/rules/development/chrome-extension-manifest.md

@@ -0,0 +1,110 @@
+---
+type: development-rules
+category: chrome-extension
+focus: manifest-configuration
+language: json
+applyTo: "**/manifest.json"
+---
+
+# Chrome Extension Manifest V3 - Manifest Configuration
+
+## manifest.json 設計指針
+
+### 必須構造
+
+manifest.json ファイルは拡張機能の設定と権限を定義する中核ファイルです。Manifest V3 では以下の要素が必須となります：
+
+- **基本情報**: manifest_version（必ず3）、name、version、description の設定
+- **background**: service_worker フィールドでバックグラウンドスクリプトを指定し、type: "module" で ESM モジュールとして動作させる
+- **action**: 拡張機能アイコンの設定、ポップアップ HTML、タイトル、各サイズのアイコンファイルを定義
+- **permissions**: 基本的な API 権限（storage、activeTab など）をリスト形式で列挙
+- **host_permissions**: 特定ドメインへのアクセス権限を別途定義
+- **content_scripts**: 注入するスクリプトファイル、対象URL パターン、実行タイミングを設定
+
+アイコンは 16px、32px、48px、128px の4サイズを用意し、用途に応じて適切なサイズが自動選択されます。
+
+### 権限設計のベストプラクティス
+
+- **host_permissions の分離**: API 権限と Host 権限を明確に分離する
+- **最小権限の原則**: 必要最小限の権限のみを要求する
+- **動的権限**: `chrome.permissions` API を使用した実行時権限要求の検討
+- **権限の透明性**: ユーザーが権限の目的を理解できる説明を提供する
+
+## declarativeNetRequest API 設定
+
+### 静的ルール定義
+
+declarativeNetRequest API は静的ルールファイル（rules.json）で基本的なネットワーク制御を定義します。
+
+**ルール構造**: 各ルールは一意の id、優先度（priority）、実行するアクション（action）、適用条件（condition）で構成されます。
+
+**アクションタイプ**:
+- **block**: 指定されたリクエストをブロック
+- **redirect**: 別のリソースにリダイレクト（拡張機能内のファイルまたは外部URL）
+- **modifyHeaders**: リクエスト/レスポンスヘッダーを変更
+- **upgradeScheme**: HTTP を HTTPS にアップグレード
+
+**条件指定**: urlFilter でURLパターンを指定し、resourceTypes で対象リソース（script、image、xmlhttprequest など）を限定します。ワイルドカード（*）を使用してパターンマッチングを行います。
+
+**優先度**: 複数ルールが同一リクエストにマッチした場合、priority の高いルールが優先されます。数値が大きいほど高優先度です。
+
+静的ルールは manifest.json の declarative_net_request フィールドで rules.json ファイルを指定して読み込まれます。
+
+### 必須 manifest.json サンプル構造
+
+```json
+{
+  "manifest_version": 3,
+  "name": "拡張機能名",
+  "version": "1.0.0",
+  "description": "拡張機能の説明",
+  
+  "background": {
+    "service_worker": "background.js",
+    "type": "module"
+  },
+  
+  "action": {
+    "default_popup": "popup.html",
+    "default_title": "拡張機能タイトル",
+    "default_icon": {
+      "16": "icons/icon16.png",
+      "32": "icons/icon32.png",
+      "48": "icons/icon48.png",
+      "128": "icons/icon128.png"
+    }
+  },
+  
+  "permissions": [
+    "storage",
+    "activeTab"
+  ],
+  
+  "host_permissions": [
+    "https://example.com/*"
+  ],
+  
+  "content_scripts": [
+    {
+      "matches": ["https://example.com/*"],
+      "js": ["content.js"],
+      "run_at": "document_end"
+    }
+  ],
+  
+  "content_security_policy": {
+    "extension_pages": "script-src 'self'; object-src 'self'; img-src 'self' data: https:",
+    "sandbox": "sandbox allow-scripts"
+  },
+  
+  "declarative_net_request": {
+    "rule_resources": [
+      {
+        "id": "rules",
+        "enabled": true,
+        "path": "rules.json"
+      }
+    ]
+  }
+}
+```

package/artifact/instructions/rules/development/electron.md

@@ -0,0 +1,258 @@
+---
+type: development-rules
+category: desktop-app
+focus: electron
+language: javascript
+framework: electron
+---
+
+# Electron 開発ベストプラクティス：2025年版セキュア・高性能デスクトップアプリケーション開発ガイド
+
+## 概要
+
+Electronは、Web技術（JavaScript、HTML、CSS）を用いてクロスプラットフォームのネイティブデスクトップアプリケーションを構築するための強力なフレームワークです。しかし、その力を責任を持って活用するには、セキュリティ、パフォーマンス、アーキテクチャに関する現代的なベストプラクティスへの厳格な準拠が不可欠です。
+
+本ガイドは、2025年における「セキュリティ第一」および「パフォーマンス・バイ・デザイン」という考え方で、セキュアで高性能、かつ保守性の高いデスクトップアプリケーションを構築するための包括的な指針を提供します。
+
+## 1. セキュリティ基盤：最小権限の原則とコンテキスト分離
+
+### 1.1 必須セキュリティ設定
+
+**重要**: Electronはホストシステムへの特権アクセスを許可するため、XSSのような脆弱性がサンドボックス化されたブラウザ環境よりもはるかに深刻な影響を及ぼす可能性があります。
+
+#### webPreferences必須設定
+
+BrowserWindowを作成する際は、以下のセキュリティ設定を必須とします：
+
+- `nodeIntegration: false` - レンダラープロセスでのNode.js APIアクセスを無効化
+- `contextIsolation: true` - コンテキスト分離を有効化（Electron 12以降はデフォルト）
+- `sandbox: true` - プロセスをサンドボックス化（推奨）
+- `webSecurity: true` - Web標準のセキュリティ機能を維持（デフォルト）
+- `allowRunningInsecureContent: false` - HTTPSページでのHTTPリソース実行を禁止（デフォルト）
+- `experimentalFeatures: false` - 実験的機能を無効化
+
+### 1.2 contextBridgeによる安全なAPI公開
+
+contextIsolationが有効な環境では、contextBridgeモジュールのみを使用してAPIを安全に公開します。
+
+#### 危険な実装（避けるべき）
+
+preloadスクリプトでipcRenderer全体を公開することは危険です。これにより任意のIPCメッセージ送信が可能になってしまいます。
+
+#### 安全な実装（推奨）
+
+特定の名前付きアクションのみを公開し、制限された機能セットを提供します。以下の原則に従います：
+- 特定の機能に限定したメソッドを提供
+- 引数の検証を行う
+- リスナーの適切な管理機能を提供
+
+### 1.3 IPC送信元検証とメインプロセス保護
+
+メインプロセスで受信するすべてのIPCメッセージは送信元を検証する必要があります。以下の原則に従います：
+
+- 送信元URLの検証を実行
+- 信頼できるオリジンのリストを管理
+- 不正な送信元からのリクエストは拒否
+- エラーハンドリングによる適切な例外処理
+
+### 1.4 コンテンツセキュリティポリシー（CSP）
+
+厳格なCSPは重要な防御層となります。実装方法は2つあります：
+
+#### HTMLファイル内での設定
+
+HTMLファイルのheadセクションにmetaタグを使用してCSPを設定します。script-src、object-src、img-srcなどの適切なディレクティブを指定します。
+
+#### プログラマティックな設定
+
+session.defaultSession.webRequest.onHeadersReceivedを使用してHTTPヘッダでCSPを設定します。レスポンスヘッダにContent-Security-Policyヘッダを追加することで動的に制御できます。
+
+### 1.5 権限リクエストの制御
+
+デフォルトですべての権限リクエストを拒否し、必要なもののみを許可します。以下の原則に従います：
+
+- session.defaultSession.setPermissionRequestHandlerを使用
+- 送信元のオリジンを検証
+- 信頼できるオリジンからのリクエストのみ処理
+- 許可する権限を明示的に指定（notifications、mediaなど）
+- デフォルトはすべて拒否
+
+## 2. パフォーマンス・アーキテクチャ設計
+
+### 2.1 プロセスモデルの理解と活用
+
+Electronのマルチプロセスアーキテクチャを正しく理解することが高性能アプリケーションの鍵です。
+
+#### メインプロセスの役割（制限事項）
+
+- **やるべきこと**: ウィンドウ管理、システムイベント処理、IPCルーティング
+- **やってはいけないこと**: CPU集約的な処理、ブロッキングI/O、同期的な長時間実行タスク
+
+#### 悪い例：メインプロセスでの重い処理
+
+app.on('ready')イベント内で重い処理を同期的に実行すると、メインプロセスがブロックされアプリ全体がフリーズします。
+
+#### 良い例：非同期処理とワーカー活用
+
+createWindow()を先に実行してUIを表示し、重い処理は別プロセス（Worker Threads）で非同期実行します。
+
+### 2.2 非同期処理の徹底
+
+#### ブロッキング操作の回避
+
+同期I/O操作（fs.readFileSyncなど）はメインプロセスをブロックするため避けるべきです。代わりにPromiseベースの非同期I/O（fs.promises.readFile）を使用します。
+
+#### 同期的IPCの回避
+
+ipcRenderer.sendSyncはレンダラープロセスをブロックするため使用を避け、代わりにipcRenderer.invokeによる非同期IPCを使用します。
+
+### 2.3 CPU集約的タスクの処理
+
+#### Worker Threadsの活用
+
+worker_threadsモジュールを使用して、重い計算処理を別スレッドで実行します。メインスレッドとワーカースレッドの判定により、同一ファイル内で両方の処理を記述できます。ワーカー側では計算結果をparentPort.postMessageで返します。
+
+#### 専用BrowserWindowの活用
+
+非表示のBrowserWindowを作成して、専用のレンダラープロセスで重い処理を実行することも可能です。この場合はnodeIntegrationを有効にし、IPCを通じてタスクの配布と結果の収集を行います。
+
+### 2.4 メモリ管理とリーク防止
+
+#### 適切なクリーンアップ
+
+Reactなどのフレームワークを使用する場合、useEffectのクリーンアップ関数内でイベントリスナを適切に削除します。window.electronAPI.removeAllListenersを使用してリスナーを削除し、メモリリークを防止します。
+
+#### メモリ監視
+
+setIntervalを使用してメモリ使用量を定期的に監視し、閾値を超えた場合は警告を出力します。必要に応じてglobal.gc()でガベージコレクションを手動実行できます。
+
+## 3. 現代的な開発ワークフロー
+
+### 3.1 ビルドツールの選択：Webpack vs Vite
+
+#### Vite + electron-vite（推奨：新規プロジェクト）
+
+新規プロジェクトでは`npm create electron-vite@latest`を使用してプロジェクトを作成します。Viteは高速な開発サーバーとビルド機能を提供し、electron-viteはElectron専用の設定を簡素化します。
+
+vite.config.jsでmain、preload、rendererの各プロセス用の設定を分離して記述します。メインプロセスとプリロードスクリプトはCommonJS形式、レンダラープロセスは通常のVite設定を使用します。
+
+### 3.2 TypeScript統合
+
+#### 型定義の整備
+
+TypeScript環境では、ElectronAPIの型定義を適切に作成します。src/types/electron.d.tsファイルを作成し、contextBridgeで公開するAPIの型を定義します。globalのWindow interface拡張により、レンダラープロセスでタイプセーフなAPI呼び出しが可能になります。
+
+### 3.3 セキュアなファイルシステムアクセス
+
+レンダラープロセスは直接ファイルシステムにアクセスすべきではありません。
+
+メインプロセスでdialog.showOpenDialogを使用してファイル選択ダイアログを表示し、選択されたファイルを安全に読み込みます。ファイルの種類制限（filters）を設定し、キャンセル処理も適切に行います。読み込み結果はパスと内容をオブジェクトで返し、レンダラープロセスに送信します。
+
+## 4. 外部リンクとプロトコルの安全な処理
+
+### 4.1 shell.openExternalの安全な使用
+
+外部リンクを開く際は、必ずメインプロセスでURL検証を行います。
+
+preloadスクリプトでは単純なAPIを公開し、実際の検証はメインプロセスに委譲します。メインプロセスでは以下の検証を実行します：
+
+- URLパースの確認
+- 許可されたプロトコル（http:、https:、mailto:）のチェック
+- 危険なローカルファイルURL（file:）の防止
+- エラーハンドリングと適切なレスポンス返却
+
+## 5. 機密データの暗号化保存
+
+### 5.1 safeStorageの活用
+
+Electronの`safeStorage`モジュールを使用して機密データを暗号化保存します。暗号化が利用可能かどうかをisEncryptionAvailable()で確認し、利用可能な場合のみ暗号化を実行します。
+
+認証情報保存時は、JSONオブジェクトを文字列化してからencryptStringで暗号化し、ファイルに保存します。読み込み時はファイルの存在確認後、暗号化データを読み込んでdecryptStringで復号化し、JSONとしてパースして返します。
+
+## 6. 依存関係とサプライチェーンセキュリティ
+
+### 6.1 依存関係の監査
+
+定期的にnpm auditコマンドでセキュリティ監査を実行します。脆弱性が発見された場合はnpm audit fixで自動修正を試みます。より詳細な脆弱性チェックにはnpx better-npm-audit auditを使用します。
+
+### 6.2 Electronバージョン管理
+
+package.jsonでElectronのバージョンを管理し、定期的なアップデートチェックを行います。npm outdated electronでバージョン確認、npx electronegativityでセキュリティ分析を実行するスクリプトを設定します。
+
+## 7. 開発・デバッグベストプラクティス
+
+### 7.1 開発時のDevToolsアクセス制御
+
+開発時のみDevToolsを有効化し、本番環境では無効化します。process.env.NODE_ENVを使用して環境を判定し、webPreferencesのdevToolsオプションを制御します。
+
+本番環境では右クリックメニューも無効化し、context-menuイベントをpreventDefault()で阻止します。これによりユーザーがDevToolsにアクセスすることを防げます。
+
+### 7.2 ログとエラーハンドリング
+
+electron-logライブラリを使用して適切なログ管理を行います。開発環境ではdebugレベル、本番環境ではwarnレベル以上のみを記録します。
+
+未処理例外をprocess.on('uncaughtException')でキャッチし、ログに記録します。レンダラープロセスのエラーはIPCを通じてメインプロセスに送信し、一元的にログ管理します。
+
+## 8. テスト戦略
+
+### 8.1 セキュリティテスト
+
+セキュリティテストでは、レンダラープロセスにNode.js APIが公開されていないことを確認します。executeJavaScriptを使用してrequire、process、globalが未定義であることをテストします。
+
+IPC送信元検証のテストでは、不正なオリジンからのメッセージが適切に拒否されることを確認します。テスト環境でElectronアプリを起動し、セキュリティ設定が正しく動作することを検証します。
+
+## 9. パッケージ化とデプロイメント
+
+### 9.1 electron-builderでの安全な配布
+
+electron-builderを使用してアプリケーションを配布する際は、適切なセキュリティ設定を行います。
+
+build設定では以下を指定します：
+- appId：アプリケーション固有の識別子
+- productName：アプリケーション名
+- files：配布に含めるファイルと除外するファイル（テストファイルや型定義ファイルを除外）
+
+macOS用設定では：
+- hardenedRuntime：セキュリティ強化のため有効化
+- entitlements：権限設定ファイルの指定
+
+Windows用設定では：
+- certificateFile：コード署名用証明書ファイル
+- certificatePassword：環境変数からパスワード取得
+
+## セキュリティチェックリスト
+
+### 必須設定項目
+
+- [ ] `nodeIntegration: false`
+- [ ] `contextIsolation: true`
+- [ ] `sandbox: true` (可能な場合)
+- [ ] `webSecurity: true`
+- [ ] 厳格なCSPの実装
+- [ ] 権限リクエストハンドラの設定
+- [ ] IPC送信元の検証
+- [ ] contextBridgeによる安全なAPI公開
+- [ ] shell.openExternalの適切な使用
+- [ ] 機密データの暗号化（safeStorage）
+- [ ] 依存関係の定期的な監査
+- [ ] Electronバージョンの最新化
+
+### パフォーマンス項目
+
+- [ ] メインプロセスでのブロッキング処理の排除
+- [ ] 非同期I/Oの使用
+- [ ] CPU集約的タスクのworker_threads活用
+- [ ] 適切なメモリ管理とクリーンアップ
+- [ ] イベントリスナの適切な削除
+- [ ] 大きなオブジェクトの参照解除
+
+### 開発環境項目
+
+- [ ] TypeScript型定義の整備
+- [ ] 適切なビルドツール設定
+- [ ] 開発時のホットリロード
+- [ ] セキュリティテストの実装
+- [ ] 本番環境でのDevTools無効化
+- [ ] 適切なログ管理とエラーハンドリング
+
+このガイドに従うことで、セキュアで高性能、かつ保守性の高いElectronアプリケーションを構築することができます。

package/artifact/prompts/todo_plans.prompt.md

@@ -0,0 +1,47 @@
+---
+type: prompt
+category: todo-planning
+focus: workflow-management
+---
+
+# TODO Plans 作成ルール
+
+## 基本ルール
+
+- 今後の計画を立てる際は、必ず `todo_plans/` に記載する
+- ファイル名規則は、`YYYYMMDD_[タイトル].md`
+- 計画が不要になった場合は削除する。Git の履歴で過去の計画は追跡できるため、アーカイブせずにリポジトリをすっきり保つ
+
+## ワークフロー管理
+
+### todo_plans の役割
+
+#### todo_plans段階
+
+- **目的**: 将来の計画とアイデアの整理
+- **期間**: プロジェクトのアイデア段階
+- **成果物**: 計画の概要と方向性
+- **品質基準**: 実現したいことが明確に記述されている
+
+## 実践ガイドライン
+
+- 将来実装したい機能やアイデアは、必ず todo_plans/ に記載する
+- 計画の内容は、実現したいことと大まかな方向性を記述する
+- 詳細な実装方法は不要。コンセプトレベルで十分
+- 計画が変更されたり不要になった場合は、ファイルを削除してリポジトリを整理する
+
+## ファイル名規則の例
+
+```
+todo_plans/
+├── 20250911_API機能拡張構想.md
+├── 20250911_パフォーマンス改善アイデア.md
+└── 20250911_新機能企画書.md
+```
+
+## 注意事項
+
+- todo_plans は「将来やりたいこと」「検討したいアイデア」の整理段階
+- 具体的な実装計画ではなく、方向性やコンセプトを記録する
+- 実装に着手する際は、別途 change_plans でより詳細な計画を立てる
+- 長期的なビジョンや中期的な目標の管理に活用する

package/dist/cli.d.ts

@@ -1,3 +1,6 @@
 #!/usr/bin/env node
-export {};
+/**
+ * Recursively scans a directory for YAML files and returns their relative paths
+ */
+export declare function findYamlFilesRecursively(dir: string, baseDir?: string): Promise<string[]>;
 //# sourceMappingURL=cli.d.ts.map

package/dist/cli.d.ts.map

@@ -1 +1 @@
-{"version":3,"file":"cli.d.ts","sourceRoot":"","sources":["../src/cli.ts"],"names":[],"mappings":""}
+{"version":3,"file":"cli.d.ts","sourceRoot":"","sources":["../src/cli.ts"],"names":[],"mappings":";AAygBA;;GAEG;AACH,wBAAsB,wBAAwB,CAAC,GAAG,EAAE,MAAM,EAAE,OAAO,GAAE,MAAY,GAAG,OAAO,CAAC,MAAM,EAAE,CAAC,CAyBpG"}