URLひとつでWebサイトの基本的なセキュリティ状態を点検するツール、Vibe Guardian
(vibe-guardian.com)最近はバイブコーディングが流行し、素早く作ってデプロイする流れの中で、
基本的なセキュリティ設定は後回しになりがちだと感じました。
実際に起きている大小さまざまな事故を見ると、
複雑なハッキングよりもはるかに単純なケースが多いんですよね。
- 露出したAPIキー、CORS設定、公開された.envファイル、主要ログの露出など
(こうした基本設定の漏れで多く発生しているようです)
そこで、URLをひとつ入力するだけで
Webサイトの基本的なセキュリティ状態を素早く点検し、
問題になり得る箇所をチェックできるツールを作ってみました。
完璧なセキュリティを提供するサービスではありませんが、
少なくとも基本設定の漏れやキー露出のような
事故が起きないようにすることに焦点を当てました。
基本的なセキュリティ設定は一度整理しておけば、
ほかのプロジェクトでも使い回せるので、
デプロイ後に一度くらいは点検してみるとよいのではないかと思います。
[Webサイト]
追加で、ここには開発者の方が多いのでそういうことはないと思いますが、
バイブコーディングでサービスを作ったものを見ると、ときどきフロントエンドからAI APIを呼び出している例があるようです。
.envキーは秘密っぽい印象があるため、非開発者の方は混同してしまうことがあるのだと思います。
別の話ですが、私はAWSでプロキシサーバーを作っておいて、「公開もしていないただのIPなのに、どうやって分かるんだ?」と思って別途認証やセキュリティなしで開けていたところ、翌日にはすぐ異常兆候についてAWSからメールを受け取った経験もあります。たった1日でとんでもないトラフィックが……。幸いありがたいことにAWS側が見逃してくれました……。
思っていたよりはるかに速く検知され、アクセスされるのだと実感しました。
5件のコメント
Claude Code Opus4.7 ベースで私のプロジェクトコードと実際に同一リンクに対するテスト結果を見ると、そのサイトでの結果の大半は誤検知ですね..
いいサービスですね!
ただ、不安なのはURLを入力してセキュリティ問題を把握した後、その記録を残さないという保証があるとよいことです。自分のサイトやセキュリティ問題に関する記録を保存しない、という文言だけでもあるとよいと思います。
ありがとうございます :) もしかすると攻撃に対する懸念をお持ちなのかと思いますが、その点についてもしっかり考慮していきたいと思います~!
ありがとうございます〜! こんなサービスがあったんですね(笑)。登録してみます!