Hub
Next.js セキュリティ:まずはここから
「検索されていない」状態は、記事の質よりも“入口”が足りないことが多い。ここは、 Next.jsセキュリティの主要テーマ(更新、CVE、認可、サプライチェーン)を、クロールされやすい 形で束ねるためのハブです。
必須
- Next.js セキュリティ更新プレイブック
更新を「事故」にしないためのルーチン。確認点、段階投入、ロールバックまで。
- React2Shell CVE-2025-66478(対応メモ)
実際のエコシステム脆弱性に対して、何を確認しどう動くかの最短チェック。
- 認可 / IDOR チェックリスト
「UIで見えないからOK」を捨てて、オブジェクト単位の認可をサーバで強制する。
サプライチェーン + CI
- npm サプライチェーン攻撃チェックリスト
依存差分とinstallスクリプトをCIゲートにして、侵害の入口を潰す。
- GitHub Actions ハードニング
最小権限、SHA pin、PRイベントの落とし穴。CIを攻撃面にしない。
- Dependabot 運用(安全な更新)
週次バッチ+グルーピングで更新を「運用」にして、PR地獄を終わらせる。
追加
- AIっぽさ除去チェックリスト(文章)
出荷が速いほど、読みやすさと信頼が効く。編集の最低ライン。
- 明確化質問チェックリスト
実装前に“聞くべきこと”を固定して、vibe-codedな抜けを減らす。