security-hardening

単一の脅威シナリオを入力として受け取り、 (1) 脅威モデル化 → (2) 緩和設計 → (3) 実装方針 → (4) テスト/ログ → (5) release-gate化 までを一貫して出す。百科事典は作らない。

| target | 対象(endpoint/function/module) | src/app/api/files/[id]/download/route.ts | | threat | 再現可能な脅威シナリオ(1文) | "他ユーザーのfileIdを指定するとファイルがダウンロードできる" | | environment | ランタイム | Next.js 16 + Supabase | | constraints | 互換性/性能/運用制約(あれば) | "admin-dashboardからも呼ぶ" |

| 1 | Threat Model | 攻撃者/影響/悪用難易度/既存防御層 | | 2 | Mitigation Design | fail-closed/最小権限/境界チェックの方針 | | 3 | Implementation Plan | diff-oriented: どのファイルのどこをどう変えるか | | 4 | Tests + Logging | 再現テスト(修正前fail, 修正後pass) + SecurityMonitorログ | | 5 | Release Gate | 再発防止ゲートの提案(自動検出可能なもの) |

特定の脅威シナリオに対応したセキュリティ強化ワークフロー。 「IDOR の防止」、「CSRF 対策の設計」、「RLS の強化」など、単一の具体的な脅威を入力すると、脅威のモデリング→緩和設計→実装計画→テスト/ロギング→リリースゲートの自動化に至る成果物が一貫して提供されます。 IDOR、リプレイ攻撃、CSRF、XSS、パス トラバーサル、オープン リダイレクト、レート制限設計などの特定の脆弱性に対処するために使用します。 「コードベース全体をスキャン」するには、security-audit-quick を使用します。 「アプリ全体の包括的な評価」には、security-threat-review を使用します。 ソース: yusuketsunoda/ppt-trans。