M0依存関係インストール計画
作成日: 2026-05-13
更新日: 2026-05-13
このファイルは npm install 前のセキュリティ確認用リストです。調査完了まで npm install は保留します。
npm runtime dependencies
| パッケージ | 固定予定バージョン | 用途 | ライセンス | 採用理由 |
|---|
@tauri-apps/api | 2.11.0 | Tauri JS API | Apache-2.0 OR MIT | Tauri v2のフロントエンド連携。 |
react | 19.2.6 | UI | MIT | 日本語UI実装。 |
react-dom | 19.2.6 | UI描画 | MIT | ReactのDOM描画。 |
pixi.js | 8.18.1 | 2D描画基盤 | MIT | M1以降の画像表示とメッシュ描画に備える。 |
earcut | 3.0.2 | 三角形分割 | ISC | M3以降の自動メッシュ生成候補。 |
lucide-react | 1.14.0 | UIアイコン | ISC | ボタンやナビゲーションのアイコン表示。 |
npm devDependencies
| パッケージ | 固定予定バージョン | 用途 | ライセンス | 採用理由 |
|---|
@tauri-apps/cli | 2.11.1 | Tauri CLI | Apache-2.0 OR MIT | デスクトップアプリの起動とビルド。 |
@types/react | 19.2.14 | React型定義 | MIT | TypeScript 6.0でJSX型を明示するために追加。 |
@types/react-dom | 19.2.3 | React DOM型定義 | MIT | react-dom/client の型解決に必要。 |
vite | 8.0.12 | 開発サーバー/ビルド | MIT | 8.0.5 未満の既知CVEを避けるため、修正版以上に固定。 |
@vitejs/plugin-react | 6.0.1 | React用Viteプラグイン | MIT | ReactのVite連携。RSCプラグインは採用しない。 |
typescript | 6.0.3 | 型チェック | Apache-2.0 | TypeScriptの型検証。 |
Rust dependencies
| crate | 固定予定バージョン | 用途 | ライセンス | 確認方法 |
|---|
tauri | 2.11.1 | Tauri本体 | Apache-2.0 OR MIT | cargo info tauri で確認済み。 |
tauri-build | 2.6.1 | Tauriビルド補助 | Apache-2.0 OR MIT | cargo info tauri-build で確認済み。 |
serde | 1 | 将来の設定/プロジェクトJSON | MIT OR Apache-2.0 | Rust標準的なシリアライズ基盤。 |
serde_json | 1 | 将来のJSON処理 | MIT OR Apache-2.0 | Rust標準的なJSON処理基盤。 |
M0で明示的に採用しないもの
| 候補 | 判定 | 理由 |
|---|
onnxruntime-web | 未採用 | 顔トラッキング/推論ランタイムは採用ゲート未通過。 |
@mediapipe/tasks-vision | 未採用 | .taskモデルの再配布条件、SHA-256、NOTICE、CSP互換が未確認。 |
@vitejs/plugin-rsc | 未採用 | React Server Components系の脆弱性影響を避ける。 |
react-server-dom-* | 未採用 | RSCを使わないため不要。 |
| Live2D Cubism SDK | 禁止 | 仕様でCubism互換と独自SDK採用を禁止。 |
事前確認で見つけた注意点
vite は 8.0.5 未満に CVE-2026-39363 / CVE-2026-39365 があるため、8.0.12 を固定予定にした。@vitejs/plugin-rsc はReact Server Components関連の脆弱性情報があるため採用しない。- 顔トラッキング関連は、ライセンス、モデル再配布、CSP、オフライン同梱が確認できるまでMVP範囲に入れない。
@vitejs/plugin-react@6.0.1、@tauri-apps/api@2.11.0、@tauri-apps/cli@2.11.1 は npm view で実在確認済み。@types/react@19.2.14 と @types/react-dom@19.2.3 は npm view で実在とMITライセンスを確認済み。pixi.js@8.18.1 は npm view pixi.js@8.18.1 version で実在確認済み。2026-05-13時点の npm view pixi.js@8.18.1 dist-tags では latest も 8.18.1。lucide-react@1.14.0 は npm view で2026-04-29公開を確認。Snykのバージョン一覧でも1.14.0の直接脆弱性は0件。TanStackインシデント発生日2026-05-11より前の公開で、直接の該当パッケージ名ではない。- インストール後は
npm audit --audit-level=moderate、npm run license:check、npm test、npm run build を実行する。
TypeScript 6.0のメモ
- TypeScript 6.0系では型解決のデフォルト変更に注意する。
- 現時点のM0では
vite.config.ts にNode組み込みAPIを使っていないため、@types/node は追加しない。
- インストール後の
npm run typecheck でNode型が必要と判明した場合だけ、改めて @types/node のバージョンと脆弱性を確認してから追加する。