実践:AIコードのセキュリティレビュー
なぜ学ぶか: Phase 06の総仕上げ。AIが生成したアプリを公開する前に、自分でセキュリティの穴を見つけられるようにします。完璧な監査は専門家の仕事ですが、「よくある致命的な穴」は、このフェーズの知識でかなり防げます。公開前チェックリストを手に入れましょう。
公開前チェックリスト
①秘密キーの露出②サーバー側の入力検証③RLSの有無④認可チェック。まずこの4つを見ます。
優先順位は「被害の大きさ」で
キー漏えい・データ全公開など「取り返しがつかない穴」から潰します。すべてを一度に完璧にする必要はありません。
AIをレビュアーにも使う
「このコードのセキュリティ上の懸念を、影響度順に挙げて」とAIに聞くのも有効。ただし最終判断は人間が持ちます。
完璧より「明らかな穴を塞ぐ」
個人開発では、致命的な穴を無くすだけで大半のリスクが消えます。「何もしない」と「基本を押さえる」の差が一番大きいのです。
公開前チェックリスト
公開前セキュリティ・チェックリスト □ 秘密キーの露出(最優先) - NEXT_PUBLIC_ の付いたシークレットは無いか - ブラウザから外部APIを直接叩いていないか □ 入力検証 - サーバー側(Route Handler / Server Action)で検証しているか - フロントの検証だけで満足していないか □ データベース - すべてのテーブルで RLS が有効か - service_role キーがブラウザに漏れていないか □ 認可 - 更新・削除の前に「本人か」を確認しているか
このチェックリストを、AIが作ったアプリの「公開ボタンを押す前の儀式」にしてください。上から順に、被害の大きいものから確認します。
ステップ 1 / 2
※ カリキュラムの内容はAIが生成しており、誤りが含まれる場合があります。正確な情報は公式ドキュメント等でご確認ください。