loading
$ nti build --optimize-images
fetchthumbs
renderpage
waiting for assets
Tag
#web の記事
このタグに関連する記事一覧です。まずは新しい記事から読むのがおすすめです。
Loading thumbs
securitywebops
·5 min read
Next.jsのCSP段階投入|Report-Onlyで壊さず導入する手順(チェックリスト)
Next.jsでCSPを導入する実務手順。まずReport-Onlyで違反レポートを集め、依存を棚卸し、allowlistを締め、script-srcはnonce/hash方針を固めてから強制モードへ。ロールバック前提で進める。
続きを読む→
Loading thumbs
securitywebops
·5 min read
Next.jsのセキュリティヘッダー|何から入れる?実務チェックリスト(HSTS / CSP Report-Only / COOP/COEP)
Next.jsでセキュリティヘッダーを入れる実務順序。低リスクの基本ヘッダー→HSTS(HTTPSが前提)→CSPはReport-Onlyで観測→COOP/COEP/CORPは必要なルートだけ。壊さず段階投入するためのチェックリスト。
続きを読む→
Loading thumbs
securityopsweb
·4 min read
Dependabot運用チェックリスト|週次バッチ・グルーピング・安全な更新ゲート
依存更新は放置すると脆弱性、雑に回すとサプライチェーン事故。Dependabotを運用として成立させるために、対象範囲(npm+Actions)、週次バッチ、グルーピング、自動マージ方針、CIゲートまでをチェックリスト化する。
続きを読む→
Loading thumbs
securityopsweb
·5 min read
GitHub Actionsハードニング|CIを攻撃面にしないチェックリスト(permissions / SHA pin / PRイベント)
GitHub Actionsは権限と秘密情報が集まる実行環境。permissions最小化、外部ActionのSHA pin、fork PRとpull_request_targetの隔離、Environmentによるデプロイ承認など、まず止血する実務チェックリスト。
続きを読む→
Loading thumbs
securitywebops
·4 min read
npmサプライチェーン対策|依存差分をCIで止めるチェックリスト(新規依存/Install Script)
npmのサプライチェーン攻撃はアプリのコードレビューをすり抜ける。依存グラフの差分を「セキュリティイベント」として扱い、新規依存とinstall/postinstallをCIで止めるための実務チェックリスト。
続きを読む→
Loading thumbs
securitywebai
·6 min read
認可(IDOR)防止チェックリスト|AI実装で壊れやすい境界を30分で見直す
ログインがあるのに情報が抜ける原因はほぼ「認可」。AI生成コードで頻発するIDOR(オブジェクト単位の認可ミス)を、30分で潰すための実務チェックリストと判断基準をまとめる。
続きを読む→
Loading thumbs
securitywebai
·6 min read
AIで作ったWebアプリが一番やらかす:IDOR(認可ミス)を出荷前に潰す手順
AI実装は速いが、そのぶん「認可(authorization)」が抜けやすい。IDOR(オブジェクト単位の認可ミス)を最短で見つけて直すための実務手順、判断基準、回帰テスト、運用の型をまとめる。
続きを読む→
Loading thumbs
websecuritynextjs
·5 min read
Next.jsのセキュリティアップデート運用|小規模チームが事故らず更新するPlaybook
Next.jsの重要アップデートはインシデント対応として扱う。緊急度判断、差分を小さく更新、CIで早期失敗、プレビューで要所確認、ロールバック前提でデプロイ、必要ならシークレット回転までを手順化。
続きを読む→
Loading thumbs
websecuritynextjs
·5 min read
Next.jsのCVE-2025-66478対応|影響確認・修正・検証・鍵回転までの最短チェックリスト
Next.jsのCVE-2025-66478が出た時の実務対応。影響範囲の確認、修正版への更新、プレビューでの要所検証、露出があり得る場合のシークレット回転までを、小規模チーム向けにチェックリスト化する。
続きを読む→