xcode-project-analyzer
Xcodeプロジェクトの設定、ビルド設定、スキームの動作、スクリプトフェーズを精査し、明示的な承認ゲートを通じてビルド時間の改善点を特定します。増分ビルドの遅延、ターゲット依存関係の最適化、ビルド設定のレビュー、Run Scriptフェーズの分析、並列化の改善、あるいはモジュールマップや`DEFINES_MODULE`の設定に関するプロジェクトレベルのビルド分析が必要な際に活用してください。
description の原文を見る
Audit Xcode project configuration, build settings, scheme behavior, and script phases to find build-time improvements with explicit approval gates. Use when a developer wants project-level build analysis, slow incremental builds, guidance on target dependencies, build settings review, run script phase analysis, parallelization improvements, or module-map and DEFINES_MODULE configuration.
SKILL.md 本文
Xcode Project Analyzer
プロジェクト・ターゲットレベルのビルド非効率性の解決に使用します。ソースの編集だけでは解決しにくい場合に適しています。
コアルール
- デフォルトでは推奨事項を優先する
- プロジェクトファイル、スキーム、またはビルド設定を変更する前に、明示的な承認が必要
- タイミングサマリー、ビルドログ、またはプロジェクト設定の証拠に基づいた測定可能な結果を優先する
- デバッグ専用の問題とリリース専用の問題を区別する
レビュー対象
- スキームのビルド順序およびターゲット依存関係
ビルド設定ベストプラクティスに照らしたデバッグ・リリースのビルド設定- スクリプトフェーズおよび依存関係分析設定
- 派生データの消滅または明らかに無効化されたカスタムステップ
- 並列化の機会
- 明示的なモジュール依存関係設定およびモジュールマップの準備状況
- ビルドタイミングサマリーの「Planning Swift module」時間 -- インクリメンタルビルドで支配的な場合、予期しないインプット変更またはマクロ関連の無効化が疑われる
- アセットカタログのコンパイル時間、特に大規模または複数のカタログを持つターゲット
- ビルドタイミングサマリーの
ExtractAppIntentsMetadata時間 -- このフェーズが大幅な時間を消費する場合、xcode-behaviorとして記録する (コストと影響を報告しますが、Apple による明示的なガイダンスがない限りリポジトリローカルの最適化を提案しない) - ゼロチェンジビルドのオーバーヘッド -- ノーオペレーションのリビルドが数秒を超える場合、固定コストフェーズ (スクリプト実行、コード署名、検証、CopySwiftLibs) を調査する
- CocoaPods の使用 --
PodfileまたはPods.xcodeprojが存在する場合、CocoaPods は非推奨。SPM への移行を推奨し、CocoaPods 固有の最適化は試みない (project-audit-checks.mdを参照) - Task Backtraces (Xcode 16.4+: Scheme Editor > Build > Build Debugging) を使用して、インクリメンタルビルドでタスクが予期せず再実行される理由を診断する
ビルド設定ベストプラクティス監査
すべてのプロジェクト監査には、プロジェクトのデバッグ・リリース設定を build-settings-best-practices.md の推奨値と比較するビルド設定チェックリストを含める必要があります。チェックマーク/クロス表示 ([x]/[ ]) を使用して結果を提示してください。スコープはビルドパフォーマンス専用です。SWIFT_STRICT_CONCURRENCY や SWIFT_UPCOMING_FEATURE_* などの言語マイグレーション設定には対応しないでください。
Apple 由来のチェック
すべての監査でこれらの項目を確認してください:
- ターゲット依存関係が正確で、欠落または膨張していない
- スキームが
Dependency Orderでビルドされている - スクリプト実行がインプット・アウトプットを宣言している
- スクリプトが多数のインプット・アウトプットを持つ場合、
.xcfilelistファイルが使用されている - カスタムフレームワークまたはライブラリがモジュールマップを公開する必要がある場合、
DEFINES_MODULEが有効になっている - モジュールマップの使用に十分な自己完結型ヘッダーである
- モジュールを共有すべきターゲットの明示的なモジュール依存関係設定が一貫している
典型的な勝利例
- デバッグ時にのみ重要なスクリプトをスキップする
- スクリプトガード、または依存関係分析メタデータの欠落を追加する
- スキーム内の意図しないシリアルボトルネックを削除する
- 不要なモジュールバリアントを引き起こすビルド設定を調整する
- 必要以上に広範なリビルドを強制する古いプロジェクト構造を修正する
- ファイルタイムスタンプを変更する (内容は変更しない) linter またはフォーマッターを特定し、サイレントでビルドインプットを無効化してモジュール再計画を強制する
- 大規模なアセットカタログを複数のターゲットの個別リソースバンドルに分割して、コンパイルを並列化する
- Task Backtraces を使用して、不要なインクリメンタル作業をトリガーする正確なインプット変更をピンポイントする
レポート形式
各問題に対して以下を含めてください:
- 証拠
- おそらくのスコープ
- クリーンビルド、インクリメンタルビルド、またはその両方に影響する理由
- 推定される影響
- 承認要件
証拠がパッケージグラフまたはビルドプラグインを指す場合、その SKILL.md を読んで同じプロジェクトコンテキストにそのワークフローを適用し、spm-build-analysis
補足リソース
- 詳細な監査チェックリストについては、
references/project-audit-checks.mdを参照 - ビルド設定ベストプラクティスについては、
references/build-settings-best-practices.mdを参照 - 共有推奨形式については、
references/recommendation-format.mdを参照 - Apple 準拠のソースサマリーについては、
references/build-optimization-sources.mdを参照
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- avdlee
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/avdlee/xcode-build-optimization-agent-skill / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。