security-hardening

単一の脅威シナリオを入力として受け取り、 (1) 脅威モデル化 → (2) 緩和設計 → (3) 実装方針 → (4) テスト/ログ → (5) release-gate化 までを一貫して出す。百科事典は作らない。

| target | 対象(endpoint/function/module) | src/app/api/files/[id]/download/route.ts | | threat | 再現可能な脅威シナリオ(1文) | "他ユーザーのfileIdを指定するとファイルがダウンロードできる" | | environment | ランタイム | Next.js 16 + Supabase | | constraints | 互換性/性能/運用制約(あれば) | "admin-dashboardからも呼ぶ" |

| 1 | Threat Model | 攻撃者/影響/悪用難易度/既存防御層 | | 2 | Mitigation Design | fail-closed/最小権限/境界チェックの方針 | | 3 | Implementation Plan | diff-oriented: どのファイルのどこをどう変えるか | | 4 | Tests + Logging | 再現テスト(修正前fail, 修正後pass) + SecurityMonitorログ | | 5 | Release Gate | 再発防止ゲートの提案(自動検出可能なもの) |

Рабочий процесс по усилению безопасности для конкретного сценария угрозы. Введите одну конкретную угрозу — например, «Я хочу предотвратить IDOR», «Мне нужно разработать контрмеры CSRF» или «Я хочу ужесточить RLS» — и это последовательно обеспечит результаты моделирования угроз → проектирования мер по снижению риска → руководств по реализации → тестирования/ведения журнала → автоматизации релиз-гейта. Используйте его для устранения определенных уязвимостей, таких как IDOR, атаки повторного воспроизведения, CSRF, XSS, обход пути, открытые перенаправления или дизайн ограничения скорости. Если вам нужно «сканировать всю кодовую базу», используйте быстрый аудит безопасности; если вам нужна «комплексная оценка всего приложения», используйте анализ угроз безопасности. Источник: yusuketsunoda/ppt-trans.