誰も警告してくれないヴァイブコーダーのチェックリスト

- まずリスクをコントロールする。例：データベースのレートリミッター、膨大な請求を避けるために
- claudeコードターミナル内で /security-review コマンドを実行。最低限の監査チェックを行う。特にライブプッシュ前にはこれを徹底的に行う
- ユーザー入力の検証、ユーザー入力を信用しない。自分のフォームからでも (SQL/XSS攻撃)
- 潜在的な攻撃ベクトルを探す。セキュリティをテストするためにシミュレーションを実行
- ポリシーが正しく設定されていることを確認し、ユーザーデータのクロスコンタミネーションやリークを防ぐ
- 依存関係の脆弱性やサプライチェーン攻撃に注意。npm auditや同等のツールを使用
- 今のうちに効率性を優先し、大規模運用時の予期せぬトラブルを避ける。帯域幅、不要な呼び出し、冗長な再レンダリング、無駄なステート更新などに注意
- 認証を確実に設定し、正しい設定が使われていることを確認
- エラーハンドリングを適切に行い、優雅に対処
- 環境変数、APIキーをクライアント側のコードに露出させない
- ドキュメントを参考資料として活用し、claudeに全てを任せない
- セキュリティと監査を徹底し、第三者によるレビューも検討
- https/sslは基本中の基本だが、見落としやすい

これらの分野の専門家だとは思っていません。でも、これらは注意すべき一般的なリスクの一部です。見落としている点も多いかもしれませんが、少なくとも明らかな部分はカバーし、セキュリティを0以上に向上させる手助けになるはずです。

まずは最低限のセキュリティを確保し、その上でクールなユーティリティの構築を楽しんでください。

気軽にセキュリティのヒントをコメント欄に投稿してください。このトピックに対する意識が高まるほど良いです