← inaro.devAI駆動開発 学習ツール

実践:AIコードのセキュリティレビュー

なぜ学ぶか: Phase 06の総仕上げ。AIが生成したアプリを公開する前に、自分でセキュリティの穴を見つけられるようにします。完璧な監査は専門家の仕事ですが、「よくある致命的な穴」は、このフェーズの知識でかなり防げます。公開前チェックリストを手に入れましょう。

公開前チェックリスト

①秘密キーの露出②サーバー側の入力検証③RLSの有無④認可チェック。まずこの4つを見ます。

優先順位は「被害の大きさ」で

キー漏えい・データ全公開など「取り返しがつかない穴」から潰します。すべてを一度に完璧にする必要はありません。

AIをレビュアーにも使う

「このコードのセキュリティ上の懸念を、影響度順に挙げて」とAIに聞くのも有効。ただし最終判断は人間が持ちます。

完璧より「明らかな穴を塞ぐ」

個人開発では、致命的な穴を無くすだけで大半のリスクが消えます。「何もしない」と「基本を押さえる」の差が一番大きいのです。

公開前チェックリスト

公開前セキュリティ・チェックリスト

□ 秘密キーの露出(最優先)
   - NEXT_PUBLIC_ の付いたシークレットは無いか
   - ブラウザから外部APIを直接叩いていないか

□ 入力検証
   - サーバー側(Route Handler / Server Action)で検証しているか
   - フロントの検証だけで満足していないか

□ データベース
   - すべてのテーブルで RLS が有効か
   - service_role キーがブラウザに漏れていないか

□ 認可
   - 更新・削除の前に「本人か」を確認しているか

このチェックリストを、AIが作ったアプリの「公開ボタンを押す前の儀式」にしてください。上から順に、被害の大きいものから確認します。

ステップ 1 / 2

※ カリキュラムの内容はAIが生成しており、誤りが含まれる場合があります。正確な情報は公式ドキュメント等でご確認ください。