npm - create-einja-app - Versions diffs - 0.3.0 → 0.3.2 - Mend

create-einja-app 0.3.0 → 0.3.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (80) hide show

package/templates/default/docs/plans/fix-orphan-cleaner-review.md ADDED Viewed

@@ -0,0 +1,25 @@
+# Codexレビュー指摘修正: orphan-cleaner
+## 修正対象: High 2件
+### Fix 1: パストラバーサル脆弱性
+**箇所**: `packages/cli/src/commands/sync.ts` 孤児削除処理部分
+**修正**: 孤児ファイル削除前にパス検証関数を追加
+- `path.normalize` で正規化
+- `..` を含むパスを拒否
+- 絶対パスを拒否
+- 解決後パスがプロジェクトルート配下か検証
+- OrphanCleaner.detectOrphans() 内でも検証（検出段階でフィルタ）
+### Fix 2: 変更ファイル0件時に孤児削除に到達しない
+**箇所**: `packages/cli/src/commands/sync.ts:161-163`
+**修正**: 早期return条件に `orphanReport.hasOrphans` を追加
+- 孤児検出を早期returnの前に移動
+- `filesToProcess.length === 0 && !orphanReport.hasOrphans` の場合のみreturn
+- 変更なし＋孤児ありの場合はレポート表示/削除処理へ進む
+## 実装ステップ
+1. orphan-cleaner.ts にパス検証を追加（detectOrphans内）
+2. sync.ts の早期return修正 + 削除処理にもパス検証ガード追加
+3. orphan-cleaner.test.ts にパストラバーサルテスト追加
+4. typecheck + test 実行

package/templates/default/docs/plans/fix-sync-template-variables.md ADDED Viewed

@@ -0,0 +1,162 @@
+# 修正計画: create-einja-app sync コマンドの設計ギャップ修正
+## 問題一覧
+### 致命的 (Critical)
+| # | 問題 | 影響 |
+|---|------|------|
+| C-1 | sync にテンプレート変数置換がない | `@repo/`, `{{packageName}}` が未置換のままコピーされる |
+| C-2 | 環境ファイルの暗号化キー上書き | `.env.keys` 以外の `.env.*` が上書きされ秘密鍵が破壊 |
+| C-3 | Prismaスキーマの無条件上書き | apps/packages sync時にユーザーのDBモデルが消失 |
+### 重大 (High)
+| # | 問題 | 影響 |
+|---|------|------|
+| H-1 | package.json の scripts 完全上書き | ユーザーカスタムスクリプトが消失 |
+| H-2 | tsconfig.json の extends/paths 上書き | TypeScriptビルド設定が破壊 |
+| H-3 | dry-run がファイルリスト表示のみ | マージ結果や変数置換結果が確認不可 |
+| H-4 | バックアップが既存ファイルのみ | 新規追加ファイルがロールバックで残る |
+| H-5 | GitHub Actions YAML の無条件同期 | カスタマイズしたCIパイプラインが破壊 |
+### 中程度 (Medium)
+| # | 問題 | 影響 |
+|---|------|------|
+| M-1 | dev-cli / create-einja-app の管轄重複 | ユーザーが混乱 |
+| M-2 | マーカーの入れ子エラー処理不足 | マーカー破損時に警告なし |
+| M-3 | 冪等性の未保証 | sync 2回実行で結果が変わる可能性 |
+| M-4 | 個別ファイル保護の仕組みがない | conflictStrategy でしか保護できない |
+| M-5 | `.env.personal` の定義に `.env.keys` があるが実装で片方のみチェック | 保護漏れ |
+## 修正方針
+### Phase 1: 致命的問題の修正 (C-1, C-2, C-3)
+#### 1-1. ユーザーリポジトリから packageScope/projectName を検出
+sync は既存リポジトリに対して実行されるため、ユーザーの設定を自動検出する必要がある。
+**取得元の優先順位**:
+1. `.einja.json` (または `.einja-sync.json`) にメタデータとして保存されている場合
+2. ルート `package.json` の `name` フィールド（projectName）
+3. `apps/` or `packages/` 配下の `package.json` から `name` のスコープ部分を抽出
+4. 上記で取得できない場合は対話式プロンプトで入力
+**新規ファイル**: `src/utils/project-detector.ts`
+#### 1-2. sync プロセスにテンプレート変数置換を統合
+**方式**: テンプレートファイル読み込み後、マージ処理の**前**に `replacePlaceholders()` を適用
+- `template.ts` の `replacePlaceholders()` を export して共用化
+- `merger.ts` の `mergeAndWriteFile()` に templateVariables オプションを追加
+- `sync.ts` で検出した変数情報を `mergeAndWriteFile` に渡す
+**重要**: 置換はマージ前に行う。マージ後に行うと既存ファイルのユーザーカスタマイズまで誤って置換してしまう。
+#### 1-3. 置換漏れ検証
+sync 完了後に `@repo/` や `{{packageName}}` がターゲットファイルに残っていないか検証。
+**新規ファイル**: `src/utils/placeholder-validator.ts`
+#### 1-4. 環境ファイルの保護強化
+`ENV_FILE_PROTECTION` を拡張。dotenvx 暗号化済み値を含むファイルを保護対象に追加。
+```typescript
+const ENV_FILE_PROTECTION = {
+  protected: [
+    ".env.keys",       // 既存
+    ".env.personal",   // 既存
+    ".env.develop",    // 追加
+    ".env.local",      // 追加
+    ".env.production", // 追加
+    ".env.staging",    // 追加
+    ".env.preview",    // 追加
+  ],
+  allowed: [           // 同期許可
+    ".env.example",
+    ".env.personal.example",
+    ".envrc",
+  ],
+};
+```
+#### 1-5. Prismaスキーマ等の保護
+sync 対象から除外すべきファイルパターンを追加:
+- `**/prisma/schema.prisma` — DBモデルはユーザー固有
+- `**/prisma/migrations/**` — マイグレーション履歴
+- `pnpm-lock.yaml` — lockfile は sync すべきでない
+### Phase 2: 重大問題の修正 (H-1 ~ H-5)
+#### 2-1. package.json scripts の安全なマージ (H-1)
+現状: `{...existing, ...template}` でテンプレートが後勝ち。
+**方式**: scripts マージ時に、ユーザーが追加したキー（テンプレートに存在しないキー）を保持。テンプレート既存キーの上書き時は既にカスタマイズされている場合は警告。
+#### 2-2. `--all` 時のデフォルトスコープ制限 (H-1)
+`--all` 使用時も `packageJsonSections` のデフォルトを `["scripts", "engines"]` に限定。dependency 系は明示フラグ必要。
+#### 2-3. dry-run の改善 (H-3)
+dry-run 時にもマージ処理をシミュレーション実行し、実際のdiff（変更前後）を表示する。
+#### 2-4. バックアップの完全性 (H-4)
+sync 完了時に「追加されたファイル」のリストも記録し、ロールバック時に削除する。
+#### 2-5. GitHub Actions のマーカーベース保護 (H-5)
+`.github/workflows/*.yml` にマーカーベースマージを適用。managed セクション外のユーザーカスタマイズを保持。
+### Phase 3: テスト
+| テストファイル | 内容 |
+|---|---|
+| `tests/unit/utils/project-detector.test.ts` | **新規**: packageScope 自動検出 |
+| `tests/unit/utils/placeholder-validator.test.ts` | **新規**: 置換漏れ検出 |
+| `tests/unit/utils/merger.test.ts` | **追加**: templateVariables 付きマージ |
+| `tests/integration/sync-variables.test.ts` | **新規**: sync E2E（変数置換検証） |
+## 実装順序
+```
+Phase 1-1: project-detector 作成
+    ↓
+Phase 1-2: replacePlaceholders 共用化 + merger 統合
+    ↓
+Phase 1-3: placeholder-validator 作成
+    ↓ (並行可)
+Phase 1-4: env 保護強化  |  Phase 1-5: Prisma/lockfile 除外
+    ↓
+Phase 2 (並行可): scripts安全マージ | dry-run改善 | バックアップ完全性
+    ↓
+Phase 3: テスト作成
+```
+## 変更ファイルサマリ
+| ファイル | 操作 | 内容 |
+|---|---|---|
+| `src/utils/project-detector.ts` | **新規** | packageScope/projectName 検出 |
+| `src/utils/placeholder-validator.ts` | **新規** | 置換漏れ検出 |
+| `src/generators/template.ts` | 変更 | `replacePlaceholders()` を export |
+| `src/utils/merger.ts` | 変更 | templateVariables オプション追加 |
+| `src/commands/sync.ts` | 変更 | 変数検出・置換・検証ステップ追加 |
+| `src/generators/sync.ts` | 変更 | env保護リスト拡張、Prisma除外パターン追加 |
+| `src/types/index.ts` | 変更 | SyncMetadata に packageScope/projectName 追加 |
+## リスク
+| リスク | 軽減策 |
+|---|---|
+| `pnpm-lock.yaml` 内の `@repo/` 置換で lockfile 破壊 | sync 対象から除外 |
+| マージ前置換でマージ精度低下 | マーカーベースマージはテキスト比較なので影響なし |
+| 既存ユーザーの設定ファイルに packageScope がない | 自動検出 + 対話確認でフォールバック |

package/templates/default/docs/plans/glimmering-giggling-sedgewick.md ADDED Viewed

@@ -0,0 +1,126 @@
+# Plan: Plan mode進入時にeinja-skill-firstを自動リマインドするhook
+## Context
+現在、`einja-skill-first` SkillはCLAUDE.mdの指示に基づいて親エージェントが手動で呼び出す運用になっている。しかし強制力がなく、忘れる可能性がある。
+`UserPromptSubmit` hookを使い、Plan mode中のプロンプト送信時に**軽量リマインダー**を自動注入することで、確実にeinja-skill-first評価が実行される仕組みを作る。
+**なぜ `UserPromptSubmit` か:**
+- `PreToolUse(EnterPlanMode)` はLLMが呼ぶ場合のみ発火し、**Shift+Tab**での手動Plan mode進入をカバーできない
+- `UserPromptSubmit` は `permission_mode` フィールドを受け取れるため、Plan mode中の全プロンプト送信を確実に検出可能
+**なぜ軽量リマインダー方式か:**
+- SKILL.md全文（240行）を注入するとコンテキストを圧迫する
+- 短い指示（2-3行）なら毎回注入しても低コスト → **状態管理（フラグファイル等）が不要**
+- LLMが自分でSKILL.mdを読みに行くので、Compaction後も再読み込み可能
+## 実装内容
+### 1. hookスクリプト作成
+**ファイル**: `.claude/hooks/einja/plan-mode-skill-loader.sh`
+```bash
+#!/bin/bash
+# plan-mode-skill-loader.sh - Plan mode中にeinja-skill-firstのリマインダーを注入
+#
+# UserPromptSubmit hookとして設定
+# permission_mode == "plan" の場合に、軽量リマインダーをadditionalContextとして注入
+# 毎回注入しても2-3行なのでコスト無視可能。状態管理不要。
+set -uo pipefail
+input=$(cat)
+# permission_modeを取得
+permission_mode=$(echo "$input" | jq -r '.permission_mode // empty')
+# Plan mode以外はスキップ
+if [[ "$permission_mode" != "plan" ]]; then
+  exit 0
+fi
+# 軽量リマインダーを注入
+jq -n '{
+  "additionalContext": "【Plan mode自動リマインダー】計画作成前にeinja-skill-firstの評価を実施してください。.claude/skills/einja-skill-first/SKILL.mdを参照し、スキップ基準に該当しない場合はSkill作成の必要性を評価してください。スキップ基準（単発の小規模修正、既存キーワードトリガー一致、具体的かつ限定的な作業指示、1回限りの作業）に該当する場合は省略可。"
+}'
+```
+### 2. settings.json にhookを追加
+**ファイル**: `.claude/settings.json`
+`hooks` セクションに `UserPromptSubmit` を追加:
+```json
+"UserPromptSubmit": [
+  {
+    "hooks": [
+      {
+        "type": "command",
+        "command": "\"$CLAUDE_PROJECT_DIR\"/.claude/hooks/einja/plan-mode-skill-loader.sh",
+        "timeout": 5000
+      }
+    ]
+  }
+]
+```
+※ `UserPromptSubmit` はmatcherをサポートしない（全プロンプトで発火）。スクリプト内で `permission_mode` をチェックして制御する。
+### 3. CLAUDE.md のskill-first関連記述を更新
+**ファイル**: `CLAUDE.md`
+現在の必須フロー Step3 の記述を更新:
+**変更前:**
+```
+3. `einja-skill-first` で「Skill を先に作るべきか」を自動評価する
+```
+**変更後:**
+```
+3. `einja-skill-first` で「Skill を先に作るべきか」を評価する
+   - Plan mode中は `UserPromptSubmit` hookにより自動でリマインダーが注入される
+   - `.claude/skills/einja-skill-first/SKILL.md` を読み込んで評価を実施する
+```
+手動キーワードトリガー（「Skill作るべき？」等）はそのまま維持。
+## 変更対象ファイル
+| ファイル | 操作 |
+|---------|------|
+| `.claude/hooks/einja/plan-mode-skill-loader.sh` | **新規作成** |
+| `.claude/settings.json` | **編集** - `UserPromptSubmit` hook追加 |
+| `CLAUDE.md` | **編集** - skill-first記述を更新（任意） |
+## 検証方法
+1. **スクリプト単体テスト**:
+   ```bash
+   # Plan modeの場合 → additionalContext出力
+   echo '{"permission_mode":"plan","session_id":"test123"}' | \
+     CLAUDE_PROJECT_DIR="$(pwd)" \
+     bash .claude/hooks/einja/plan-mode-skill-loader.sh
+   # 通常modeの場合 → 何も出力しない
+   echo '{"permission_mode":"default","session_id":"test123"}' | \
+     CLAUDE_PROJECT_DIR="$(pwd)" \
+     bash .claude/hooks/einja/plan-mode-skill-loader.sh
+   ```
+2. **実動作テスト**:
+   - Shift+TabでPlan modeに入りプロンプトを送信
+   - リマインダーが注入され、skill-first評価が促されることを確認
+3. **通常mode非発火テスト**:
+   - Plan mode以外でプロンプト送信した際に何も注入されないことを確認
+## 注意事項
+- `.claude/` 配下の変更は `presets/default/` にビルド時に自動コピーされる
+- `additionalContext` はCompaction対象だが、毎回再注入されるため消失しても問題ない
+- hookのタイムアウトは5秒（jqの実行のみなので十分余裕あり）

package/templates/default/docs/plans/glittery-swimming-bachman.md ADDED Viewed

@@ -0,0 +1,78 @@
+# packages層の相対パスインポート禁止を強制する
+## Context
+import-conventions.md で「`../` や `./` を使用しない」と規定されているが、packages層では強制手段がなく、29ファイルで `../../` 形式の相対パスが使われている。TSConfig paths エイリアス（`@/`）を追加し、既存の相対パスインポートを書き換える。
+## 対象ファイル数
+| パッケージ | 違反ファイル数 | 備考 |
+|-----------|-------------|------|
+| packages/server-core | 8件 | vitest.config.ts に `@/` alias 定義済み |
+| packages/cli | 13件 | vitest alias 追加必要 |
+| packages/create-einja-app | 8件 | テストファイル中心 |
+## 実施内容
+### Step 1: TSConfig paths 追加（3ファイル）
+各パッケージの `tsconfig.json` に `paths` を追加。IDEの補完・型チェックで `@/` が使えるようになる。
+```json
+"compilerOptions": {
+  "paths": {
+    "@/*": ["./src/*"]
+  }
+}
+```
+対象:
+- `packages/server-core/tsconfig.json`
+- `packages/cli/tsconfig.json`
+- `packages/create-einja-app/tsconfig.json`（テスト用に `tests/` へのalias も検討）
+### Step 2: vitest.config.ts の alias 追加（2ファイル）
+server-core は既に定義済み。cli と create-einja-app に追加。
+```typescript
+resolve: {
+  alias: {
+    "@": path.resolve(__dirname, "./src"),
+  },
+},
+```
+対象:
+- `packages/cli/vitest.config.ts`（存在確認要）
+- `packages/create-einja-app/vitest.config.ts`（存在確認要）
+### Step 3: 相対パスインポートを `@/` に書き換え（29ファイル）
+例:
+```typescript
+// Before
+import type { User } from "../../../domain/entities/User";
+import { type Result, failure, success } from "../../../core/result";
+// After
+import type { User } from "@/domain/entities/User";
+import { type Result, failure, success } from "@/core/result";
+```
+### Step 4: ドキュメント更新（1ファイル）
+`.claude/skills/einja-coding-standards/references/import-conventions.md` の禁止事項セクションを更新:
+- packages層でも `@/` エイリアスを使用する旨を明記
+- 各パッケージの `@/` が何を指すか記載
+### Step 5: 検証
+- `pnpm typecheck` — 型チェック通過
+- `pnpm test` — テスト通過（server-core, cli, create-einja-app）
+- `pnpm build` — ビルド通過
+- `grep` で `../../` が残っていないことを確認
+## Lint強制について
+Biomeの `noRestrictedImports` は完全一致のみでパターンマッチ不可。自動検出は不可のため、コードレビュー + ドキュメントで担保する。

package/templates/default/docs/plans/happy-watching-toast.md ADDED Viewed

@@ -0,0 +1,56 @@
+# CLAUDE.md ベストプラクティス統合
+## Context
+外部CLAUDE.mdベストプラクティスとの差分分析を行い、Codex分析・Planレビューの結果を踏まえて、取り入れるべき4つの改善を特定した。
+## 対象ファイル
+- `CLAUDE.md`
+## 変更内容
+### 変更1: 基本原則に「設計の見直し」追加（L11の後）
+```markdown
+5. **設計の見直し**: 複雑な変更では実装前に「より良い設計はないか」を検討する。ただし単純な修正には不要
+```
+### 変更2: ブロッカー対応テーブルに汎用ルール追加（L68の後）
+```markdown
+| 想定外の事態全般 | **即座に停止**。無理に推し進めず再計画 |
+```
+### 変更3: 完了判定の必須チェックに差分確認追加（L172の後）
+```markdown
+- [ ] `git diff` で意図しない変更が混入していないことを確認（`git diff --stat` で変更ファイル一覧を確認）
+```
+### 変更4: 報告ルールセクションに進捗報告追加（L142-149）
+セクション名を変更し、進捗報告ルールを追加：
+**Before:**
+```markdown
+## サブエージェント結果報告のルール
+```
+**After:**
+```markdown
+## 報告ルール
+```
+L149の後に追加：
+```markdown
+### 進捗報告の原則
+- 複数ステップのタスクでは、各ステップ完了時にユーザーへ進捗を報告する
+- 完了した作業と次のステップを簡潔に示す
+- 問題が発生した場合は即座に共有する
+```
+## 検証方法
+- CLAUDE.mdの各変更箇所をReadで確認
+- 既存ルールとの矛盾がないことを目視確認

package/templates/default/docs/plans/harmonic-strolling-nebula.md ADDED Viewed

@@ -0,0 +1,210 @@
+# Vercel環境変数競合解消 + デプロイジョブ動的マトリクス化
+## Context
+参照コミット:
+1. https://github.com/drlovekoushiki/drlove_demo_app/commit/565dd31 (env競合解消)
+2. https://github.com/drlovekoushiki/drlove_demo_app/commit/1ad3045 (変更検知フィルタ追加)
+3. https://github.com/drlovekoushiki/drlove_demo_app/commit/2cf8bbf (動的マトリクス化)
+4. https://github.com/drlovekoushiki/drlove_demo_app/commit/d12f7c4 (エッジケース対応)
+**問題1**: PR環境で`vercel env add`が重複追加・並行PR競合を起こす
+**問題2**: 変更がないアプリもデプロイジョブが走り、各ステップで`should_deploy`条件分岐が冗長
+**問題3**: grep正規表現が数字含む変数名に非対応、空文字値の未注入、changesジョブ失敗時ガード不足
+**解決方針**:
+- PR環境: `vercel env add`を廃止し、`--env`フラグで実行時注入
+- stable branches: mainブランチのみ`vercel env add`、他は`--env`注入
+- 変更検知フィルタに`.github/workflows/**`を追加
+- 動的マトリクスで変更のあるアプリのみジョブを生成
+- エッジケース修正を最初から反映
+## 変更対象ファイル
+| ファイル | 変更内容 |
+|---------|---------|
+| `.github/workflows/deploy-pr-preview.yml` | env sync削除、deploy時`--env`注入 |
+| `.github/workflows/deploy-stable-branches.yml` | 動的マトリクス化、env syncをmain限定、deploy時`--env`注入、フィルタ追加 |
+| `docs/einja/steering/infrastructure/deployment.md` | フロー図・説明を新方式に更新 |
+| `docs/einja/instructions/vercel-cli-reference.md` | 環境変数同期セクションを新方式に更新 |
+| `.claude/skills/einja-infra-maintenance/SKILL.md` | env sync説明をmain限定+`--env`注入に更新 |
+## 詳細変更計画
+### 1. deploy-pr-preview.yml
+#### 1a. 「Sync environment variables to Vercel」ステップを削除（L264-282）
+現在のL264-282にある`vercel env rm`/`vercel env add`ループを完全削除。
+#### 1b. 「Deploy to Vercel」ステップを変更（L294-300）
+**変更後:**
+```yaml
+      - name: Deploy to Vercel
+        id: deploy
+        run: |
+          npx dotenvx run -f $GITHUB_WORKSPACE/.env.preview -- bash -c '
+            declare -a ENV_FLAGS=()
+            while IFS= read -r key; do
+              case "$key" in
+                NEON_*|DOTENV_PUBLIC_KEY_*) continue ;;
+              esac
+              value="${!key}"
+              if [ -n "$value" ]; then
+                echo "::add-mask::${value}"
+              fi
+              ENV_FLAGS+=("--env" "${key}=${value}")
+            done < <(grep -E "^[A-Z_][A-Z0-9_]*=\"?encrypted:" "$GITHUB_WORKSPACE/.env.preview" | cut -d= -f1)
+            # DATABASE_URLはNeon APIから取得した値を注入（.env.previewには含まれない）
+            ENV_FLAGS+=("--env" "DATABASE_URL=${DATABASE_URL}")
+            echo "Deploying with ${#ENV_FLAGS[@]} runtime env vars..."
+            DEPLOY_URL=$(vercel deploy --prebuilt "${ENV_FLAGS[@]}" --token="$VERCEL_TOKEN")
+            echo "url=$DEPLOY_URL" >> "$GITHUB_OUTPUT"
+          '
+        env:
+          DOTENV_PRIVATE_KEY_PREVIEW: ${{ secrets.DOTENV_PRIVATE_KEY_PREVIEW }}
+          DATABASE_URL: ${{ steps.db-urls.outputs.db_url_pooled }}
+```
+**反映済みエッジケース修正（コミット#4）:**
+- grep正規表現: `[A-Z_][A-Z0-9_]*`（数字含む変数名対応）
+- `ENV_FLAGS+=`を`if`の外に配置（空文字値も`--env`注入）
+### 2. deploy-stable-branches.yml
+#### 2a. changesジョブ: フィルタ追加 + 動的マトリクス構築
+```yaml
+    outputs:
+      web: ${{ steps.filter.outputs.web }}
+      admin: ${{ steps.filter.outputs.admin }}
+      deploy_matrix: ${{ steps.matrix.outputs.matrix }}  # 追加
+```
+web/admin両方のフィルタに`.github/workflows/**`追加。新規ステップ追加:
+```yaml
+      - name: Build deploy matrix
+        id: matrix
+        run: |
+          MATRIX='[]'
+          if [ "${{ steps.filter.outputs.web }}" = "true" ]; then
+            MATRIX=$(echo "$MATRIX" | jq -c '. + [{"app": "web"}]')
+          fi
+          if [ "${{ steps.filter.outputs.admin }}" = "true" ]; then
+            MATRIX=$(echo "$MATRIX" | jq -c '. + [{"app": "admin"}]')
+          fi
+          echo "matrix=$MATRIX" >> $GITHUB_OUTPUT
+```
+#### 2b. deployジョブ: 動的マトリクスに変更 + should_deploy全削除
+```yaml
+  deploy:
+    needs: [ci, migrate, changes]
+    if: always() && needs.ci.result == 'success' && (needs.migrate.result == 'success' || needs.migrate.result == 'skipped') && needs.changes.result == 'success' && needs.changes.outputs.deploy_matrix != '[]'
+    runs-on: ubuntu-latest
+    strategy:
+      fail-fast: false
+      matrix:
+        include: ${{ fromJSON(needs.changes.outputs.deploy_matrix) }}
+```
+- 「Check if deploy is needed」ステップを完全削除
+- 全ステップから`if: steps.check.outputs.should_deploy == 'true'`を削除
+- `Extract alias domain`と`Set Vercel alias`は`if: env.DEPLOY_RUN_ALIAS == 'true'`のみに
+#### 2c. env sync関連をmainブランチ限定に + grep修正
+if条件を変更し、grep正規表現も数字含む変数名に対応:
+```yaml
+      - name: Sync environment variables to Vercel
+        if: github.ref_name == 'main'
+        run: |
+          npx dotenvx run -f ${{ env.DEPLOY_DOTENV_FILE }} -- bash -c '
+            grep -E "^[A-Z_][A-Z0-9_]*=\"?encrypted:" ${{ env.DEPLOY_DOTENV_FILE }} | cut -d= -f1 | while read -r key; do
+              case "$key" in
+                NEON_*) continue ;;
+              esac
+              value="${!key}"
+              if [ -n "$value" ]; then
+                echo "Syncing $key to Vercel (${{ env.DEPLOY_VERCEL_ENV }})..."
+                echo "$value" | vercel env rm "$key" ${{ env.DEPLOY_VERCEL_ENV }} --yes --token=$VERCEL_TOKEN 2>/dev/null || true
+                echo "$value" | vercel env add "$key" ${{ env.DEPLOY_VERCEL_ENV }} --token=$VERCEL_TOKEN
+              fi
+            done
+          '
+        env:
+          DOTENV_PRIVATE_KEY_PRODUCTION: ${{ secrets.DOTENV_PRIVATE_KEY_PRODUCTION }}
+          DOTENV_PRIVATE_KEY_STAGING: ${{ secrets.DOTENV_PRIVATE_KEY_STAGING }}
+          DOTENV_PRIVATE_KEY_DEVELOP: ${{ secrets.DOTENV_PRIVATE_KEY_DEVELOP }}
+```
+```yaml
+      - name: Re-pull Vercel Environment after sync
+        if: github.ref_name == 'main'
+```
+#### 2d. 「Deploy to Vercel」ステップを`--env`注入に変更
+```yaml
+      - name: Deploy to Vercel
+        id: deploy
+        run: |
+          npx dotenvx run -f $DEPLOY_DOTENV_FILE -- bash -c '
+            declare -a ENV_FLAGS=()
+            while IFS= read -r key; do
+              case "$key" in
+                NEON_*|VERCEL_ALIAS_DOMAIN_*|DOTENV_PUBLIC_KEY_*) continue ;;
+              esac
+              value="${!key}"
+              if [ -n "$value" ]; then
+                echo "::add-mask::${value}"
+              fi
+              ENV_FLAGS+=("--env" "${key}=${value}")
+            done < <(grep -E "^[A-Z_][A-Z0-9_]*=\"?encrypted:" "$DEPLOY_DOTENV_FILE" | cut -d= -f1)
+            echo "Deploying with ${#ENV_FLAGS[@]} runtime env vars..."
+            DEPLOY_URL=$(vercel deploy --prebuilt $DEPLOY_PROD_FLAG "${ENV_FLAGS[@]}" --token="$VERCEL_TOKEN")
+            echo "url=$DEPLOY_URL" >> "$GITHUB_OUTPUT"
+          '
+        env:
+          DOTENV_PRIVATE_KEY_PRODUCTION: ${{ secrets.DOTENV_PRIVATE_KEY_PRODUCTION }}
+          DOTENV_PRIVATE_KEY_STAGING: ${{ secrets.DOTENV_PRIVATE_KEY_STAGING }}
+          DOTENV_PRIVATE_KEY_DEVELOP: ${{ secrets.DOTENV_PRIVATE_KEY_DEVELOP }}
+```
+**注意**: このプロジェクトでは`DEPLOY_VERCEL_TARGET_FLAG`ではなく`DEPLOY_PROD_FLAG`を使用。
+### 3. docs/einja/steering/infrastructure/deployment.md
+更新箇所:
+- PRプレビューフローのmermaid図: `環境変数同期` → `vercel deploy --env（実行時注入）`
+- Stableブランチフローのmermaid図: mainのみ環境変数同期、他は`--env`注入
+- フローチャート: 動的マトリクスで変更アプリのみデプロイ
+- 同時PR運用時の注意: 全encrypted環境変数`--env`注入の説明に更新
+- Vercel環境変数の自動同期: mainブランチ限定を明記
+- ワークフロー一覧テーブル: 動的マトリクス、`--env`注入の説明追加
+### 4. docs/einja/instructions/vercel-cli-reference.md
+更新箇所:
+- 環境変数同期自動化セクション: mainのみ`vercel env add`、他は`--env`注入
+- CI/CD非対話パターン表: `vercel deploy --env`の使い方追記
+### 5. .claude/skills/einja-infra-maintenance/SKILL.md
+更新箇所:
+- 環境変数同期の説明: mainのみ`vercel env add`、他は`--env`注入
+- ワークフロー一覧テーブル: 動的マトリクス、`--env`注入の説明追加
+- 競合回避ルール: env syncがmain限定であることを明記
+## 検証方法
+1. YAML構文チェック（両ファイル）
+2. `git diff --stat`で変更が5ファイルのみであることを確認
+3. PR作成後にActionsでの動作確認（推奨）