feat(nix): 環境構築 Nix 一元化 (Phase A) を統合 (KISSA-20)

.github/workflows/nix-check.yml

@@ -0,0 +1,72 @@
+# Nix flake / nix-darwin 構成の CI 検証
+#
+# 目的:
+#   PR で nix/ が変更されるたびに `nix flake check` と system closure
+#   ビルドを走らせ、構文・型・依存解決の壊れを検知する。これにより main 更新
+#   による drift (Brewfile ↔ homebrew.nix 等) を継続検知できる。
+#
+# 設計判断:
+# - `darwin-rebuild switch` 自体は CI で実行しない:
+#   ci 用に専用 host を作って switch する案を試したが、
+#   実機と CI 環境 (runner / TCC / GUI / hardware) の差分を埋める
+#   作業が膨らみ、本番投入の安全性向上に対して費用対効果が悪かった。
+#   activation の検証は実機での `darwin-rebuild build` → `switch` で行う方針。
+# - runs-on: macos-latest を採用 (最新 macOS runner に自動追従)
+# - DeterminateSystems/nix-installer-action: ローカル開発と同じ Determinate Nix
+# - `USER=ciuser` を env で渡す: flake は username を $USER から動的解決する
+#   (`builtins.getEnv "USER"`)。CI runner の $USER は環境依存なため、
+#   リポジトリに個人情報を残さない generic 値を明示する。
+#
+# セキュリティ:
+# - run: で github.event.* の自由文 (PR title / body / commit message 等) を
+#   一切評価しない (injection 対策)
+name: nix-check
+
+on:
+  pull_request:
+    paths:
+      - 'nix/**'
+      - '.github/workflows/nix-check.yml'
+  push:
+    # feature branch への push は pull_request イベントだけで検証する
+    # (push と pull_request の重複起動を避ける)。main の直接 push (hotfix 等)
+    # のみここで拾う。
+    branches:
+      - main
+    paths:
+      - 'nix/**'
+      - '.github/workflows/nix-check.yml'
+
+# 同一ブランチで複数 push があった場合、進行中のジョブをキャンセルして最新だけ走らせる
+concurrency:
+  group: nix-check-${{ github.ref }}
+  cancel-in-progress: true
+
+jobs:
+  flake-check:
+    name: nix flake check + build closure
+    runs-on: macos-latest
+    timeout-minutes: 20
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+
+      - name: Install Nix (Determinate Systems)
+        uses: DeterminateSystems/nix-installer-action@main
+        with:
+          # diagnostic 送信を無効化 (Determinate 公式推奨の opt-out)
+          diagnostic-endpoint: ''
+
+      - name: nix flake check
+        working-directory: nix
+        env:
+          USER: ciuser
+        run: nix flake check --impure --print-build-logs
+
+      - name: Build system closure
+        working-directory: nix
+        env:
+          USER: ciuser
+        run: |
+          nix build .#darwinConfigurations.default.system \
+            --no-link --impure --print-build-logs

CLAUDE.md

@@ -4,7 +4,7 @@
 
 - `aliases` — シェルエイリアス定義（`~/.aliases` にシンボリックリンク）
 - `aliase/` — 外部シェルスクリプト（エイリアスから呼び出される）
-- `Brewfile` — Homebrew パッケージ定義
+- `Brewfile` — Homebrew パッケージ定義（Phase A 期間中は読み取り専用バックアップ、Phase B で削除予定）
 - `claude/` — Claude Code 設定（`~/.claude/` にシンボリックリンク）
 - `claude/hooks/` — Claude Code フックスクリプト群（PreCompact / SessionStart / UserPromptSubmit）
 - `claude/agents/` — マルチエージェント開発用サブエージェント定義（developer × 10 / reviewer × 3 / pr-publisher × 1 = 14 体。`~/.claude/agents/` にシンボリックリンク）
@@ -15,21 +15,24 @@
 - `gitconfig` — Git 設定（`~/.gitconfig` にシンボリックリンク）
 - `gitignore_global` — グローバル gitignore（`~/.gitignore_global` にシンボリックリンク）
 - `grip/` — grip 設定（`~/.grip/` にシンボリックリンク）
-- `setup/` — セットアップスクリプト群（シンボリックリンク対象外）
+- `nix/` — nix-darwin + home-manager + flakes による環境構築定義（Phase A の主管理対象。`darwin-rebuild` から参照される。詳細は `nix/README.md`）
+- `setup/` — セットアップスクリプト群（シンボリックリンク対象外。Phase B で home-manager へ完全移行後に削除予定）
 - `ssh/` — SSH 設定（`~/.ssh/` にシンボリックリンク）
 - `zsh/` — zsh 補完ファイル（`~/.zsh/` にシンボリックリンク）
 - `zshrc` — zsh 設定（`~/.zshrc` にシンボリックリンク）
 - `zshenv` — zsh 環境変数（`~/.zshenv` にシンボリックリンク）
 
 # シンボリックリンク管理
 
+- **Phase A 期間中の方針**: 新規 dotfiles は `nix/modules/home/` 以下で home-manager 管理に倒す。`setup/setup.zsh` の symlink ループはレガシー扱い (Phase B で削除予定)
 - `setup/setup.zsh` がリポジトリルートのファイル/ディレクトリを `~/.${name}` にシンボリックリンクする
-- 以下はシンボリックリンク対象外として除外されている: `setup`, `README.md`, `ssh`, `claude`, `CLAUDE.md`, `docs`
+- 以下はシンボリックリンク対象外として除外されている: `setup`, `README.md`, `ssh`, `claude`, `CLAUDE.md`, `docs`, `nix`
 - `ssh/` と `claude/` は専用ループで個別にシンボリックリンクされる
 - ルートにファイルやディレクトリを追加する場合、シンボリックリンクが不要なものは `setup.zsh` の除外条件に追加すること
 
 # Brewfile
 
+- **Phase A 注記**: `Brewfile` は読み取り専用バックアップとして残し、cask / mas / 例外 brew は `nix/modules/darwin/homebrew.nix` で管理する。**Brewfile を変更したら同 PR で `homebrew.nix` も更新すること**（CI の `nix-check` で drift 検知される）。Phase B で `Brewfile` 自体を削除予定
 - パッケージの追加・削除は Brewfile のみで管理する。手動の `brew install` は禁止
 - 既存のパッケージのみを対象とする。ユーザーが明示的に依頼していないパッケージを追加しない
 - セクションコメント（`# Utilities`, `# Shell & Terminal` 等）に従って適切な位置に追記する
@@ -56,6 +59,65 @@
 - `claude/hooks/` 配下のフックスクリプトは PreCompact で未 handover 時のコンパクトをブロックし、SessionStart / UserPromptSubmit で未消費メモを Claude に通知する
 - `claude/RTK.md` は rtk (Rust Token Killer) のガイドライン。`claude/CLAUDE.md` 末尾の `@RTK.md` で取り込まれ、`claude/settings.json` の `PreToolUse: Bash` matcher に追加した `rtk hook claude` と連動して Bash 出力を圧縮する。各 PC への展開は `brew bundle` + `setup.zsh` で完結し、PC ローカルな `~/Library/Application Support/rtk/filters.toml` は初回フック実行時に自動生成される。フック順序は「破壊的コマンドブロック → rtk hook」で、`rm -rf` / `git push --force` 等が rtk のリライトを通過する前に exit 2 で止まる
 
+# Nix 環境 (Phase A)
+
+`~/.dotfiles/nix/` 配下で nix-darwin + home-manager + flakes による宣言的環境構築を行う。詳細手順は `nix/README.md` を参照。
+
+## 主要コマンド
+
+```sh
+cd ~/.dotfiles/nix
+
+# 副作用なしビルド確認 (CI と同じ検証を手元で)
+USER=ciuser nix build .#darwinConfigurations.default.system --no-link --impure
+
+# 適用 (sudo 必須、USER=$USER は sudo の env_reset で USER=root になるのを回避、--impure は username 動的解決のため必須)
+sudo USER=$USER darwin-rebuild switch --flake .#default --impure
+
+# 直前世代に戻す
+sudo darwin-rebuild switch --rollback
+
+# 世代一覧
+darwin-rebuild --list-generations
+```
+
+## 重要な設計判断
+
+- **`nix.enable = false`**: ローカル PC に Determinate Nix がインストールされている前提。nix-darwin の native Nix 管理は Determinate daemon と競合するため、`nix/darwin.nix` で明示的に無効化している。実験的機能 (nix-command / flakes) は Determinate がデフォルト有効化しているため別途宣言不要
+- **PC 名・ユーザー名のリポジトリ非格納**: `darwinConfigurations.default` で output 名を hostname フリーに固定し、`username = builtins.getEnv "USER"` で macOS ローカルアカウント名を実行時解決する。公開リポジトリに PC 名や個人アカウント名を晒さないための設計。`--impure` フラグが必須になる代償と引き換え (S15)
+- **`homebrew.onActivation.cleanup = "zap"`**: 宣言外パッケージは Cellar ごと削除する強い管理。Brewfile 由来の旧パッケージが残らないよう破壊的に同期する。Phase A 移行期はリスクを認識した上で運用する (`nix/modules/darwin/homebrew.nix` のコメント参照)
+- **`rtk` overlay**: `flake.nix` の `rtk-src` input から `rustPlatform.buildRustPackage` でビルド。`nix/modules/overlays/rtk.nix` で `pkgs.rtk` として供給され、`home/packages.nix` から参照される
+
+## 棚卸 → triage → 翻訳ワークフロー (S10)
+
+macOS の `defaults` 値を `defaults.nix` に翻訳するための人間 in-the-loop プロセス:
+
+1. `zsh nix/scripts/inventory.zsh` を実行 → `docs/inventory/<hostname>-<date>.md` 生成 (READ-ONLY)
+2. 生成された Markdown を開き、各項目に `nix化 / 無視 / 検討` をマーク
+3. triage 結果を `nix/modules/darwin/defaults.nix` に翻訳 (`nix/darwin.nix` から import)
+4. `nix build` で検証 → `darwin-rebuild switch` で適用
+
+triage で「無視」マークした項目は OS デフォルト値が PC 間で異なる可能性があるため、複数 PC で運用する場合は PC 別に再評価する必要がある。
+
+## CI 検証 (`nix-check` workflow)
+
+`.github/workflows/nix-check.yml` で PR ごとに以下を検証する:
+
+- `nix flake check` (構文・型・依存解決)
+- `USER=ciuser nix build .#darwinConfigurations.default.system --no-link --impure` (closure ビルド)
+
+`darwin-rebuild switch` の activation 自体は CI 範囲外 (環境差で消耗するため)。実機での `darwin-rebuild build` → `switch` で検証する方針。
+
+## Phase A → Phase B
+
+Phase A は **並存期間** (Brewfile / setup.zsh / nix の三重管理)。Phase B で:
+
+- `Brewfile` 削除
+- `setup/` 削除 (一部は `nix/scripts/` に残す)
+- `aliases` / `functions` / `zshrc` 等の symlink を home-manager 経由に統一
+
+Phase B の作業は別 plan で扱う。Phase A 完了 + 運用安定確認後に着手する。
+
 # CLAUDE.md の自己更新
 
 - リポジトリに新しいディレクトリやファイルを追加した場合、「リポジトリ構造」セクションを更新すること

README.md

@@ -2,17 +2,19 @@
 
 ## Initialize Setup
 
-1. Install XCode
+1. Grant Full Disk Access to your terminal app
+   (System Settings → Privacy & Security → Full Disk Access)
+
+2. Install Xcode CLT
 ```terminal
 xcode-select --install
 ```
 
-2. Install Homebrew
+3. Install Nix and dotfiles
 ```terminal
-/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
+git clone https://github.com/gotomts/dotfiles.git ~/.dotfiles
+zsh ~/.dotfiles/nix/scripts/install-nix.zsh
+cd ~/.dotfiles/nix && sudo USER=$USER nix run nix-darwin -- switch --flake .#default --impure
 ```
 
-3. Install my dot files:
-```terminal
-zsh -c "$(curl -s https://raw.githubusercontent.com/gotomts/dotfiles/master/setup/setup.zsh)"
-```
+See [`nix/README.md`](nix/README.md) for details.