Security Checklist
📋 実行前チェック(必須)
このスキルを使うべきか?
- • ファイルを作成・編集する?
- • コミットを準備する?
- • .envや認証関連コードに触れる?
- • APIキー、トークン、パスワードを扱う?
前提条件
- • .gitignoreを確認したか?
- • 環境変数の設定を確認したか?
禁止事項の確認
- • APIキー、パスワード、トークンをハードコードしようとしていないか?
- • .envファイルをコミットしようとしていないか?
- • デバッグ用のconsole.logを残そうとしていないか?
- • 機密情報を含むファイルを誤って編集していないか?
トリガー
- •ファイル作成・編集時
- •コミット準備時
- •
.envや認証関連コードに触れる時 - •APIキー、トークン、パスワードを扱う時
🚨 鉄則
シークレットはハードコード禁止。環境変数で管理。コミット前に必ずチェック。
コミット前チェックリスト
code
□ APIキー、パスワード、トークンがハードコードされていない □ .envファイルが.gitignoreに含まれている □ デバッグ用のconsole.log/print文が残っていない □ 機密情報を含むファイルを誤って編集していない □ テスト用の認証情報が本番用と分離されている
編集禁止ファイル(確認なしで触らない)
code
.env .env.* **/credentials* **/secrets/** **/*.pem **/.aws/* **/.ssh/*
シークレット検出
bash
# コミット前に確認 git diff --staged | grep -E "(password|secret|token|api_key|apikey)"
🚫 禁止事項まとめ
- •APIキー、パスワードのハードコード
- •.envファイルのコミット
- •デバッグコードの残存
- •機密ファイルの誤編集