依存関係レビュー
作成日: 2026-05-13 更新日: 2026-05-13
M0採用
| パッケージ | バージョン | ライセンス | 確認結果 |
|---|---|---|---|
@tauri-apps/api | 2.11.0 | Apache-2.0 OR MIT | npm view @tauri-apps/api@2.11.0 version/license で実在とライセンスを確認。 |
@tauri-apps/cli | 2.11.1 | Apache-2.0 OR MIT | npm view @tauri-apps/cli@2.11.1 version/license で実在とライセンスを確認。 |
@types/react | 19.2.14 | MIT | npm view @types/react version/license で実在とライセンスを確認。JSX型定義のために追加。 |
@types/react-dom | 19.2.3 | MIT | npm view @types/react-dom version/license で実在とライセンスを確認。react-dom/client 型定義のために追加。 |
tauri crate | 2.11.1 | Apache-2.0 OR MIT | cargo info tauriで現行版とライセンス確認。 |
tauri-build crate | 2.6.1 | Apache-2.0 OR MIT | cargo info tauri-buildで現行版とライセンス確認。 |
vite | 8.0.12 | MIT | 8.0.5未満にCVE-2026-39363/CVE-2026-39365があるため8.0.12を採用。 |
@vitejs/plugin-react | 6.0.1 | MIT | npm view @vitejs/plugin-react@6.0.1 version/license で実在とライセンスを確認。@vitejs/plugin-rscは採用しない。 |
react / react-dom | 19.2.6 | MIT | Snykで最新安定版に既知の直接脆弱性なしを確認。RSC関連パッケージは採用しない。 |
typescript | 6.0.3 | Apache-2.0 | Snykで最新安定版に既知の直接脆弱性なしを確認。 |
pixi.js | 8.18.1 | MIT | npm view pixi.js@8.18.1 version と npm view pixi.js@8.18.1 dist-tags で、8.18.1の実在とnpm latest タグを確認。 |
earcut | 3.0.2 | ISC | npm registryで現行版確認。M3以降の三角形分割候補としてM0で導入。 |
lucide-react | 1.14.0 | ISC | npm view lucide-react@1.14.0 version/license/time で実在、ISC、2026-04-29公開を確認。Snykのlucide-react versionsページで1.14.0の既知直接脆弱性0件を確認。TanStackインシデント発生日2026-05-11より前の公開。 |
採用しない依存関係
| 候補 | 判定 | 理由 |
|---|---|---|
onnxruntime-web | M0未採用 | 顔トラッキング/推論ランタイムは採用ゲート未通過。WASM、ThirdPartyNotices、CSP互換の追加確認が必要。 |
@mediapipe/tasks-vision | M0未採用 | .taskモデルのオフライン同梱、再配布条件、SHA-256、NOTICE確認が未完了。 |
| Live2D Cubism SDK | 禁止 | 仕様上、独自ライセンスSDKとCubism形式は採用しない。 |
導入前確認メモ
- npm registryで現在の公開バージョンを確認してから
package.jsonに固定した。 - Viteは2026年4月公開の任意ファイル読取系CVEの修正版である8.0.5以上を必須とし、8.0.12を採用した。
- React Server Components関連の既知脆弱性を避けるため、
@vitejs/plugin-rscとreact-server-dom-*は入れない。 - TanStackインシデントは
@tanstack/*を中心に確認されており、本M0採用リストに直接該当するパッケージはない。lucide-react@1.14.0はSnykで直接脆弱性0件、公開日は2026-04-29。 - リリース前に
npm audit --audit-level=moderateとnpm run license:checkを必ず通す。
顔トラッキング候補レビュー
ユーザー提供の docs/dependency_review.html を2026-05-13に受領し、M5前の採用ゲート資料として扱う。
| 候補 | 現時点の判定 | M5前の必須アクション |
|---|---|---|
@mediapipe/tasks-vision npm本体 | 採用候補。Apache-2.0、商用利用可、再配布可のレビュー結果。 | 実採用バージョンのnpm配布物と ThirdPartyNotices.txt を確認し、NOTICEを licenses/THIRD_PARTY_NOTICES.md へ反映する。 |
| MediaPipe WASM | スパイク待ち。wasm-unsafe-eval が必要な可能性あり。 | Tauri v2 + Viteで unsafe-eval なし、必要なら wasm-unsafe-eval のみで動くことをスパイクで確認する。 |
face_landmarker.task | 採用候補。Apache-2.0、条件付き再配布可のレビュー結果。 | 公式URLから事前取得し、ローカル同梱、SHA-256、配布URL、ライセンス、NOTICEを記録する。CDN実行時取得は禁止。 |
onnxruntime-web | 審査未完了。 | npm tarball内の ThirdPartyNotices.txt、WASM/WebGPUバックエンド、禁止ライセンス混入、CSP互換を確認する。 |
結論: M5までは顔トラッキング関連を依存関係へ追加しない。MediaPipe/ONNXのどちらも、CSPスパイクとモデル/NOTICE同梱手順が完了するまでMVP必須範囲へ入れない。