chore(devcontainer): add Dev Container config for Claude Code isolated execution

[takaokouji]

Summary

Claude Code をホスト直接実行するのではなく、devcontainer 内で動かすための設定を追加します。社内ガイドライン (NaCl Claude Code 利用ガイドライン v0.2) の 階層 B (OSS / 自社開発) の隔離環境推奨 に準拠することが目的です。

Why

ホスト直接実行では Claude Code が ~/.ssh, ~/.aws, 他案件ディレクトリなどに物理アクセスできてしまう。本プロジェクトの作業範囲は明確 (<repo> + 関連 OSS = ~/ghq 配下) なので、コンテナ内に限定することで「物理的にアクセスできる範囲」をホワイトリスト化する。

Changes Made

.devcontainer/devcontainer.json

• 既存の docker-compose.yml の app サービスを再利用する構成
• ghcr.io/anthropics/devcontainer-features/claude-code:1.0 で Claude Code をインストール
• ghcr.io/devcontainers/features/github-cli:1 で gh CLI を導入
• forwardPorts: [8601] で dev server をホストに公開
• postCreateCommand で bin/setup-worktree を自動実行

.devcontainer/docker-compose.devcontainer.yml

既存 compose への override:

• command: sleep infinity で devcontainer を長寿命化
• 以下のマウントを追加 (ホワイトリスト):

ホスト側	コンテナ内	用途
~/ghq	/ghq	submodule の origin/upstream、関連 OSS 参照
~/.gitconfig	/root/.gitconfig (ro)	git ユーザー情報
~/.config/gh	/root/.config/gh	fine-grained PAT を含む gh CLI 認証

マウントしない: ~/.ssh, ~/.aws, ~/Documents, ~/Downloads, ~/Desktop, ~/Library

.devcontainer/README.md

起動方法 (VS Code Dev Containers / devpod / docker compose 直接実行)、設計方針、AWS CDK deploy の運用方針 (ホスト側で実行)、トラブルシューティングを記載。

Compatibility

既存の docker compose run --rm app ... / bin/dx / git worktree ワークフローには影響しません。devcontainer は 追加 であり、既存ユーザーは従来通り作業可能です。

Test Coverage

• docker compose -f docker-compose.yml -f .devcontainer/docker-compose.devcontainer.yml config --quiet でマージ後の compose 設定が有効であることを確認済み
• マージ後の app サービスに既存 4 volume + 追加 3 mount が正しく合成されることを確認済み

Manual Verification (これから)

実機での Reopen in Container 動作確認は別途実施します:

• VS Code Dev Containers での起動
• コンテナ内から gh auth status が成功すること
• コンテナ内から /ghq 配下が見えること
• コンテナ内から npm run lint が動くこと
• devpod での起動確認 (brew install devpod → devpod up .)

Follow-up

• Phase 2: bin/dx の devcontainer 内分岐
• Phase 3: CLAUDE.md / .claude/rules/git-workflow.md にホスト直接 Claude Code 禁止を明記
• Phase 4: devpod 動作確認の追記

Test plan

• CI lint / build / unit / integration pass
• VS Code Reopen in Container 成功
• devcontainer 内で gh auth status 成功
• devcontainer 内で ls /ghq で OSS リポジトリ群が見える
• devcontainer 内で npm run lint が動く
• devpod での起動確認

[github-actions]

🚀 Preview deployed: https://smalruby.jp/smalruby3-editor/feature/devcontainer-claude-code/

[takaokouji]

実機検証結果と追加修正

main checkout で feature/devcontainer-claude-code を取り出し、docker compose -f docker-compose.yml -f .devcontainer/docker-compose.devcontainer.yml up -d app で実機検証しました。

✅ OK だった項目

• compose merge: config --quiet で valid、app サービスに既存 4 volume + 追加 3 mount が正しく合成
• コンテナ内マウント: /app, /ghq, /root/.config/gh, /root/.gitconfig がすべて存在
• /ghq 配下: github.com/ 配下のリポジトリが見える
• workspace 内 git: feature ブランチが正しく見える
• npm run lint がコンテナ内で完走（既存の scratch-vm/test/fixtures/patch-timers.js 等の JSDoc warning 3 件は本 PR と無関係）

❌ 発見した問題と修正

macOS の gh は PAT を Keychain に保存するため、~/.config/gh を bind mount しても oauth_token がコンテナに渡らない。確認すると hosts.yml には user: takaokouji しかなく token は keychain 側にあった。

修正内容 (963896a)

• devcontainer.json の remoteEnv に "GH_TOKEN": "${localEnv:GH_TOKEN}" を追加
• .devcontainer/initialize.sh 新設（GH_TOKEN 未設定時に手順を案内）
• README にホスト側手順を明記:

  export GH_TOKEN=$(gh auth token)

実機で GH_TOKEN をコンテナに env で渡したところ、コンテナ内で ${GH_TOKEN} の長さが正しく取得できることを確認しました（PAT が container にきちんと届く）。

⏳ 残りの実機検証

• VS Code Dev Containers の Reopen in Container での起動（devcontainer features が apply される経路）
• features 適用後の gh auth status 動作（GH_TOKEN 経由で smalruby/* に通り、takaokouji/* には 403 になること）
• devpod での起動確認