CLAUDE.md ビルダー

ガイド一覧

セキュリティ指示の書き方

CLAUDE.mdにセキュリティルールを書くことで、Claudeが生成するコードの安全性を大幅に高められます。禁止パターンと必須パターンの両方を明記しましょう。

禁止パターン

## セキュリティ

### 禁止事項
- 生SQLの直接実行禁止（必ずORM/パラメータ化クエリを使用）
- シークレット情報のハードコード禁止（API キー、パスワード等）
- \`eval()\`, \`exec()\`, \`Function()\` の使用禁止
- \`dangerouslySetInnerHTML\` の使用禁止（XSSリスク）
- HTTP通信禁止（HTTPS必須）
- \`console.log\` でのセンシティブ情報出力禁止

必須パターン

### 必須事項
- ユーザー入力は必ずバリデーション（Zod / Pydantic）
- 環境変数で秘密情報を管理（.env はGit管理外）
- APIエンドポイントには認証・認可チェックを実装
- CORSは許可オリジンを明示的に指定
- レートリミットを全APIに適用
- SQLインジェクション対策: プレースホルダーを使用

### 依存関係
- 既知の脆弱性がある依存パッケージを使わない
- \`npm audit\` / \`pip audit\` でCI時に自動チェック

セキュリティセクションのテンプレート

## セキュリティ

### 認証・認可
- 認証: [JWT / セッション / OAuth]
- 認可: [RBAC / ABAC]
- セッション有効期限: [時間]

### 入力バリデーション
- バリデーションライブラリ: [Zod / Pydantic / go-playground/validator]
- サニタイズ対象: [HTML / SQL / パスインジェクション]

### 秘密情報管理
- 管理方法: [環境変数 / AWS Secrets Manager / Vault]
- ローテーション: [頻度・方法]

### 禁止パターン
- [プロジェクト固有の禁止事項を列挙]

セキュリティルールはCLAUDE.mdに書く方法と .claude/rules/security.md に分離する方法があります。ルールが多い場合はrulesファイルに分離し、CLAUDE.mdには概要のみ書くのが効果的です。

関連テンプレート

Go + net/http (enhanced routing) のAPIサーバー向けCLAUDE.md。高パフォーマンスなバックエンドAPI構築に最適です。

Next.js + TypeScript

Next.js 15 App Router + TypeScript + Tailwind CSS のプロジェクト向けCLAUDE.md。shadcn/uiを使ったモダンなWeb開発に最適です。

nextjstypescripttailwind