NextTech Insights
Web3 / AI / モダン開発のための、セキュリティ優先プレイブック。
短く、実務で使える形で。
まずはここから
注目の記事
LLM可観測性(Observability)最小ログ設計チェックリスト|AIアプリの監査証跡を残す(2026)
AIアプリ/自動化のための「最小で効くログ」をチェックリスト化。デバッグ、コスト管理、インシデント対応に必要な証跡を残しつつ、秘密情報や機密データをログに残さない。
最新記事
プロンプトインジェクション対策チェックリスト|AIアプリの入口と権限を監査する(2026)
プロンプトインジェクションは“プロンプトの書き方”だけでは防げない。入力経路(入口)、ツール権限、アウトバウンド、ログを30分で点検する実務チェックリスト。
Next.jsのCSP段階投入|Report-Onlyで壊さず導入する手順(チェックリスト)
Next.jsでCSPを導入する実務手順。まずReport-Onlyで違反レポートを集め、依存を棚卸し、allowlistを締め、script-srcはnonce/hash方針を固めてから強制モードへ。ロールバック前提で進める。
Next.jsのセキュリティヘッダー|何から入れる?実務チェックリスト(HSTS / CSP Report-Only / COOP/COEP)
Next.jsでセキュリティヘッダーを入れる実務順序。低リスクの基本ヘッダー→HSTS(HTTPSが前提)→CSPはReport-Onlyで観測→COOP/COEP/CORPは必要なルートだけ。壊さず段階投入するためのチェックリスト。
Dependabot運用チェックリスト|週次バッチ・グルーピング・安全な更新ゲート
依存更新は放置すると脆弱性、雑に回すとサプライチェーン事故。Dependabotを運用として成立させるために、対象範囲(npm+Actions)、週次バッチ、グルーピング、自動マージ方針、CIゲートまでをチェックリスト化する。
GitHub Actionsハードニング|CIを攻撃面にしないチェックリスト(permissions / SHA pin / PRイベント)
GitHub Actionsは権限と秘密情報が集まる実行環境。permissions最小化、外部ActionのSHA pin、fork PRとpull_request_targetの隔離、Environmentによるデプロイ承認など、まず止血する実務チェックリスト。
npmサプライチェーン対策|依存差分をCIで止めるチェックリスト(新規依存/Install Script)
npmのサプライチェーン攻撃はアプリのコードレビューをすり抜ける。依存グラフの差分を「セキュリティイベント」として扱い、新規依存とinstall/postinstallをCIで止めるための実務チェックリスト。