セキュリティレビュープルリクエストテンプレート
脅威モデル、攻撃面分析、依存関係監査、セキュリティテストチェックリストを含むセキュリティ関連変更用PRテンプレート。
Specialized Templates
詳細な説明
セキュリティレビューPRテンプレート
認証、認可、データ処理、依存関係に影響する変更は、より厳密な審査が必要です。このテンプレートはセキュリティ関連のコンテキストを事前に確保し、徹底的なセキュリティレビューを可能にします。
テンプレート構造
## Description
<!-- セキュリティ関連の変更を記述してください。 -->
## Security Impact
- [ ] 認証の変更
- [ ] 認可/アクセス制御の変更
- [ ] データ処理/PII変更
- [ ] 暗号化の変更
- [ ] 依存関係の更新
- [ ] APIエンドポイントの変更
- [ ] 入力バリデーションの変更
## Threat Model
<!-- この変更はどのような脅威に対処/導入しますか? -->
## Checklist
- [ ] コードにシークレットや認証情報がない
- [ ] 入力バリデーションが実装済み
- [ ] SQLインジェクション防止を確認
- [ ] XSS防止を確認
- [ ] CSRF保護が維持されている
- [ ] レート制限を検討
- [ ] エラーメッセージが機密情報を漏洩しない
- [ ] ログにPIIが含まれない
- [ ] 依存関係の脆弱性をチェック済み
脅威モデルセクション
脅威モデルの記述を求めることで、コントリビューターはレビュー前にセキュリティ上の影響について考えることを余儀なくされます。OWASP Top 10カテゴリ(Injection、Broken Auth、XSSなど)を参照すべきです。
攻撃面分析
攻撃面の質問はセキュリティ態勢の変化を理解するのに役立ちます。新しいAPIエンドポイントの追加は攻撃面を増加させ、不要なエンドポイントの削除は減少させます。
セキュリティチェックリスト
各項目は一般的な脆弱性クラスに対処します。網羅的ではなく、Webアプリケーション開発で最も頻繁に遭遇する問題をカバーします。
依存関係の監査
サプライチェーン攻撃がますます一般的になっているため、チェックリストに依存関係の脆弱性チェックが含まれています。npm audit、Snyk、Dependabotなどのツールでこのチェックを自動化できます。
ユースケース
機密データ(金融、医療、個人情報)を扱うアプリケーションで、セキュリティレビューがPRプロセスの一部であるケース。コンプライアンス要件(SOC 2、HIPAA、PCI DSS)を持つチームにも有用。