zsp/everything-claude-code
1
0
Fork 0
mirror of https://github.com/affaan-m/everything-claude-code.git synced 2026-05-18 23:03:06 +08:00
Code Issues Packages Projects Releases Wiki Activity
Files
99dd6ac0db20fce51713b6a1c92515d2453b769e
everything-claude-code/docs/ja-JP/rules/fsharp/security.md
Claude ec9ace9c54 docs: add native Japanese translation of ECC documentation (ja-JP) 
Translate everything-claude-code repository to Japanese including:
- 17 root documentation files
- 60 agent documentation files
- 80 command documentation files
- 99 rule files across 18 language directories (common, angular, arkts, cpp, csharp, dart, fsharp, golang, java, kotlin, perl, php, python, ruby, rust, swift, typescript, web)
- 199 skill documentation files

Total: 455 files translated to Japanese with:
- Consistent terminology glossary applied throughout
- YAML field names preserved in English (name, description, etc.)
- Code blocks and examples untouched (comments translated)
- Markdown structure and relative links preserved
- Professional translation maintaining technical accuracy

This translation expands ECC accessibility to Japanese-speaking developers and teams.

Co-Authored-By: Claude Haiku 4.5 <noreply@anthropic.com>
2026-05-17 02:31:40 -04:00

2.6 KiB
Raw Blame History

paths
paths
**/*.fs
**/*.fsx
**/*.fsproj
**/appsettings*.json

F# セキュリティ

このファイルは common/security.md を F# 固有のコンテンツで拡張します。

シークレット管理

  • ソースコードに API キー、トークン、接続文字列をハードコードしない
  • ローカル開発には環境変数とユーザーシークレットを使用し、本番環境ではシークレットマネージャーを使用する
  • appsettings.*.json に実際の認証情報を含めない
// BAD
let apiKey = "sk-live-123"

// GOOD
let apiKey =
    configuration["OpenAI:ApiKey"]
    |> Option.ofObj
    |> Option.defaultWith (fun () -> failwith "OpenAI:ApiKey is not configured.")

SQL インジェクション対策

  • ADO.NET、Dapper、または EF Core でパラメータ化クエリを常に使用する
  • ユーザー入力を SQL 文字列に連結しない
  • 動的クエリ合成を使用する前に、並び替えフィールドとフィルター演算子を検証する
let findByCustomer (connection: IDbConnection) customerId =
    task {
        let sql = "SELECT * FROM Orders WHERE CustomerId = @customerId"
        return! connection.QueryAsync<Order>(sql, {| customerId = customerId |})
    }

入力バリデーション

  • 型を使用してアプリケーション境界で入力を検証する
  • 検証済みの値には単一ケース判別共用体を使用する
  • 無効な入力がドメインロジックに入る前に拒否する
type ValidatedEmail = private ValidatedEmail of string

module ValidatedEmail =
    let create (input: string) =
        if System.Text.RegularExpressions.Regex.IsMatch(input, @"^[^@]+@[^@]+\.[^@]+$") then
            Ok(ValidatedEmail input)
        else
            Error "Invalid email address"

    let value (ValidatedEmail v) = v

認証と認可

  • カスタムトークン解析ではなくフレームワークの認証ハンドラーを優先する
  • エンドポイントまたはハンドラー境界で認可ポリシーを強制する
  • 生のトークン、パスワード、PII をログに記録しない

エラーハンドリング

  • クライアントに返す安全なメッセージを返す
  • 詳細な例外はサーバーサイドで構造化コンテキストと共にログに記録する
  • API レスポンスにスタックトレース、SQL テキスト、ファイルシステムパスを公開しない

参考資料

より広範なアプリケーションセキュリティレビューチェックリストはスキル security-review を参照。

Reference in New Issue View Git Blame Copy Permalink