everything-claude-code/docs/ja-JP/rules/security.md

セキュリティガイドライン

必須セキュリティチェック

すべてのコミット前:

• ハードコードされたシークレットなし（API キー、パスワード、トークン）
• すべてのユーザー入力が検証済み
• SQL インジェクション防止（パラメータ化クエリ）
• XSS 防止（サニタイズされた HTML）
• CSRF 保護が有効
• 認証/認可が検証済み
• すべてのエンドポイントにレート制限
• エラーメッセージが機密データを漏らさない

シークレット管理

• ソースコードにシークレットをハードコードしない
• 常に環境変数またはシークレットマネージャーを使用
• 起動時に必要なシークレットが存在することを検証
• 露出した可能性のあるシークレットをローテーション

セキュリティ対応プロトコル

セキュリティ問題が見つかった場合:

1. 直ちに停止
2. security-reviewer agent を使用
3. 継続前に CRITICAL 問題を修正
4. 露出したシークレットをローテーション
5. 同様の問題がないかコードベース全体をレビュー