security-hardening

単一の脅威シナリオを入力として受け取り、 (1) 脅威モデル化 → (2) 緩和設計 → (3) 実装方針 → (4) テスト/ログ → (5) release-gate化 までを一貫して出す。百科事典は作らない。

| target | 対象(endpoint/function/module) | src/app/api/files/[id]/download/route.ts | | threat | 再現可能な脅威シナリオ(1文) | "他ユーザーのfileIdを指定するとファイルがダウンロードできる" | | environment | ランタイム | Next.js 16 + Supabase | | constraints | 互換性/性能/運用制約(あれば) | "admin-dashboardからも呼ぶ" |

| 1 | Threat Model | 攻撃者/影響/悪用難易度/既存防御層 | | 2 | Mitigation Design | fail-closed/最小権限/境界チェックの方針 | | 3 | Implementation Plan | diff-oriented: どのファイルのどこをどう変えるか | | 4 | Tests + Logging | 再現テスト(修正前fail, 修正後pass) + SecurityMonitorログ | | 5 | Release Gate | 再発防止ゲートの提案(自動検出可能なもの) |

سير عمل تعزيز الأمان لسيناريو تهديد محدد. قم بتغذيته بتهديد ملموس واحد - على سبيل المثال. "منع IDOR"، و"تصميم التدابير المضادة لـ CSRF"، و"تعزيز RLS" - ويقدم باستمرار عناصر من نموذج التهديد ← تصميم التخفيف ← خطة التنفيذ ← الاختبار/التسجيل ← أتمتة بوابة الإطلاق. استخدمه للإصلاحات المستهدفة لـ IDOR، وإعادة الهجمات، وCSRF، وXSS، واجتياز المسار، وإعادة التوجيه المفتوحة، وتصميم الحد الأقصى للمعدل، وما إلى ذلك. إذا كنت بحاجة إلى "فحص قاعدة التعليمات البرمجية بأكملها"، فاستخدم Security-audit-quick؛ للحصول على "تقييم شامل على مستوى التطبيق"، استخدم مراجعة التهديدات الأمنية. المصدر: yusuketsunoda/ppt-trans.