security-hardening

単一の脅威シナリオを入力として受け取り、 (1) 脅威モデル化 → (2) 緩和設計 → (3) 実装方針 → (4) テスト/ログ → (5) release-gate化 までを一貫して出す。百科事典は作らない。

| target | 対象(endpoint/function/module) | src/app/api/files/[id]/download/route.ts | | threat | 再現可能な脅威シナリオ(1文) | "他ユーザーのfileIdを指定するとファイルがダウンロードできる" | | environment | ランタイム | Next.js 16 + Supabase | | constraints | 互換性/性能/運用制約(あれば) | "admin-dashboardからも呼ぶ" |

| 1 | Threat Model | 攻撃者/影響/悪用難易度/既存防御層 | | 2 | Mitigation Design | fail-closed/最小権限/境界チェックの方針 | | 3 | Implementation Plan | diff-oriented: どのファイルのどこをどう変えるか | | 4 | Tests + Logging | 再現テスト(修正前fail, 修正後pass) + SecurityMonitorログ | | 5 | Release Gate | 再発防止ゲートの提案(自動検出可能なもの) |

Flusso di lavoro di rafforzamento della sicurezza per uno scenario di minaccia specifico. Inserisci una singola minaccia concreta come "prevenire IDOR", "progettare contromisure CSRF" o "rafforzare RLS" e fornirà costantemente artefatti dalla modellazione delle minacce → progettazione della mitigazione → piano di implementazione → test/registrazione → automazione del gate di rilascio. Usalo per correzioni mirate a vulnerabilità specifiche: IDOR, attacchi di riproduzione, CSRF, XSS, percorso trasversale, reindirizzamento aperto, progettazione di limiti di velocità, ecc. Per "scansionare l'intera base di codice", utilizzare security-audit-quick; per la "valutazione olistica delle app", utilizzare la revisione delle minacce alla sicurezza. Fonte: yusuketsunoda/ppt-trans.