Owasp

「Claude に作らせたアプリを即デプロイして稼ぐ」——この流れが加速する一方で、セキュリティや法的義務を丸ごとスキップしたまま本番リリースしてしまうケースが急増している。トルコのデザイン系インフルエンサー Yiğit Akın Kaya が X（旧Twitter）に投稿した辛辣なツイートが、エンジニアコミュニティで話題になっている。「バイブコーダーに悲しいお知らせ。Claude にアプリを作らせて即リリース、即マネタイズしようとしていた連中が、次々と法廷に引きずられ始めている」この記事ではそのツイートをもとに、AIで高速開発したアプリを本番公開する前に必ず確認すべきセキュリティチェックリストを日本語でまとめる。なぜ今、バイブコーダーが訴訟リスクを抱えるのか Claude や GPT-4o などの LLM を使えば、数時間でそれなりの外観と機能を持つ Web アプリが作れる。しかしツイートが指摘するように、開発者の多くが「派手なUI」には投資するが「退屈なセキュリティと基盤」はスキップしてしまう。問題は、セキュリティ上の欠陥はサービス開始後に顕在化することだ。個人情報漏洩・不正アクセス・著作権侵害・プライバシーポリシー不備——これらは各国の規制（日本なら個人情報保護法、EUなら GDPR など）に抵触し、法的責任を問われる。本番公開前に確認すべき5つのセキュリティチェックリストツイート原文（トルコ語）では 5 つの項目が挙げられている。日本のコンテキストに合わせて補足する。 1. SQL インジェクションと XSS の脆弱性スキャン LLM が生成するコードは、入力値の検証やエスケープ処理を省略しがちだ。 1 2 3 # OWASP ZAP による簡易スキャン例 docker run -t ghcr.io/zaproxy/zaproxy:stable zap-baseline.py \ -t https://your-app.example.com SQL インジェクション: ORM やプリペアドステートメントを使っているか確認する。生の文字列結合で SQL を組み立てていたら即アウト。 XSS: ユーザー入力を HTML に埋め込む箇所では必ずエスケープ処理を入れる。React / Vue はデフォルトで対策済みだが、dangerouslySetInnerHTML や v-html の使用箇所は要チェック。 2. .env ファイルの漏洩防止 API キーやデータベース接続文字列が .env ファイルに入っていたとして、それが意図せず公開されていないか確認する。 ...