claude-code-conductor 0.2.0__py3-none-any.whl

c3/_template/.claude/hooks/statusline.py

@@ -0,0 +1,170 @@
+#!/usr/bin/env python3
+"""Context gauge statusline script.
+Displays context usage + optional rate limit gauges (when plan provides rate_limits data).
+"""
+
+import json
+import sys
+import threading
+from datetime import datetime, timezone
+
+sys.stdout.reconfigure(encoding='utf-8')
+sys.stderr.reconfigure(encoding='utf-8')
+sys.stdin.reconfigure(encoding='utf-8')
+
+MAX_INPUT = 64 * 1024  # 64 KB
+
+# ANSI color / style codes
+GREEN  = '\x1b[32m'
+RED    = '\x1b[31m'
+YELLOW = '\x1b[33m'
+ORANGE = '\x1b[38;5;208m'
+DIM    = '\x1b[2m'
+RESET  = '\x1b[0m'
+
+# Gauge characters
+BLOCK       = '█'
+BLOCK_EMPTY = '░'
+TOTAL_CELLS = 10
+
+
+def pct_color(pct: int) -> str:
+    if pct > 90:
+        return RED
+    elif pct > 75:
+        return ORANGE
+    elif pct > 60:
+        return YELLOW
+    else:
+        return GREEN
+
+
+def build_gauge(pct: int) -> str:
+    filled = min(pct // 10, TOTAL_CELLS)
+    empty  = TOTAL_CELLS - filled
+    color  = pct_color(pct)
+    return (
+        DIM + '[' + RESET +
+        color + BLOCK * filled + RESET +
+        DIM + BLOCK_EMPTY * empty + RESET +
+        DIM + ']' + RESET
+    )
+
+
+def format_reset_time(resets_at) -> str:
+    if not resets_at:
+        return ''
+    try:
+        if isinstance(resets_at, (int, float)):
+            ts_sec = float(resets_at)
+        else:
+            ts_sec = datetime.fromisoformat(
+                str(resets_at).replace('Z', '+00:00')
+            ).timestamp()
+        now_sec = datetime.now(timezone.utc).timestamp()
+        diff_sec = int(ts_sec - now_sec)
+    except Exception:
+        return ''
+
+    if diff_sec <= 0:
+        return 'reset'
+
+    days  = diff_sec // 86400
+    hours = (diff_sec % 86400) // 3600
+    mins  = (diff_sec % 3600) // 60
+
+    if days > 0:
+        return f'{days}d {hours}h'
+    if hours > 0:
+        return f'{hours}h {mins}m'
+    return f'{mins}m'
+
+
+def render_output(raw: str) -> None:
+    data: dict = {}
+    try:
+        data = json.loads(raw)
+    except Exception:
+        pass
+
+    ctx_window = data.get('context_window') or {}
+    ctx_pct = round(ctx_window.get('used_percentage') or 0)
+
+    parts = [
+        DIM + 'context usage:' + RESET + ' ' +
+        build_gauge(ctx_pct) + ' ' +
+        pct_color(ctx_pct) + str(ctx_pct) + '%' + RESET
+    ]
+
+    rate_limits = data.get('rate_limits')
+    if rate_limits:
+        five_hour = (
+            rate_limits.get('five_hour') or
+            rate_limits.get('5h') or
+            rate_limits.get('fiveHour')
+        )
+        if five_hour:
+            pct = round(five_hour.get('used_percentage') or 0)
+            reset_str = format_reset_time(five_hour.get('resets_at'))
+            part = (
+                DIM + '5hour limits:' + RESET + ' ' +
+                build_gauge(pct) + ' ' +
+                pct_color(pct) + str(pct) + '%' + RESET
+            )
+            if reset_str:
+                part += ' ' + DIM + reset_str + RESET
+            parts.append(part)
+
+        seven_day = (
+            rate_limits.get('seven_day') or
+            rate_limits.get('7d') or
+            rate_limits.get('sevenDay')
+        )
+        if seven_day:
+            pct = round(seven_day.get('used_percentage') or 0)
+            reset_str = format_reset_time(seven_day.get('resets_at'))
+            part = (
+                DIM + '7day limits:' + RESET + ' ' +
+                build_gauge(pct) + ' ' +
+                pct_color(pct) + str(pct) + '%' + RESET
+            )
+            if reset_str:
+                part += ' ' + DIM + reset_str + RESET
+            parts.append(part)
+
+    sys.stdout.write('  '.join(parts) + '\n')
+    sys.stdout.flush()
+
+
+def main() -> None:
+    chunks = []
+    total_size = 0
+    rendered = False
+
+    def do_render():
+        nonlocal rendered
+        if rendered:
+            return
+        rendered = True
+        render_output(''.join(chunks))
+
+    # Timeout fallback: render with whatever we have after 5 seconds
+    timer = threading.Timer(5.0, do_render)
+    timer.daemon = True
+    timer.start()
+
+    try:
+        for line in sys.stdin:
+            chunks.append(line)
+            total_size += len(line)
+            if total_size > MAX_INPUT:
+                break
+    except Exception:
+        pass
+    finally:
+        timer.cancel()
+        do_render()
+
+
+if __name__ == '__main__':
+    main()

c3/_template/.claude/hooks/stop.py

@@ -0,0 +1,202 @@
+#!/usr/bin/env python3
+"""
+Stop hook: session template creation and pattern trust score management.
+Triggered at the end of each Claude Code session.
+"""
+
+import json
+import sys
+import os
+
+sys.stdout.reconfigure(encoding='utf-8')
+sys.stderr.reconfigure(encoding='utf-8')
+import re
+from datetime import date, datetime, timezone
+
+_HOOKS_DIR = os.path.dirname(os.path.abspath(__file__))
+_CLAUDE_DIR = os.path.dirname(_HOOKS_DIR)
+SESSIONS_DIR = os.path.join(_CLAUDE_DIR, 'memory', 'sessions')
+PATTERNS_FILE = os.path.join(_CLAUDE_DIR, 'memory', 'patterns.json')
+
+EXPIRY_DAYS = 30
+PROMOTION_THRESHOLD = 0.8
+COOLING_DAYS = 3
+SESSION_JSON_MARKER = 'C3:SESSION:JSON'
+
+
+def is_worktree(cwd: str) -> bool:
+    git_path = os.path.join(cwd, '.git')
+    return os.path.exists(git_path) and os.path.isfile(git_path)
+
+
+def get_session_path(yyyymmdd: str) -> str:
+    return os.path.join(SESSIONS_DIR, f'{yyyymmdd}.tmp')
+
+
+def create_session_template(yyyymmdd: str) -> str:
+    return (
+        f"SESSION: {yyyymmdd}\n"
+        f"AGENT: \n"
+        f"DURATION: \n"
+        f"\n"
+        f"## うまくいったアプローチ\n"
+        f"\n"
+        f"## 試みたが失敗したアプローチ\n"
+        f"\n"
+        f"## 残タスク\n"
+        f"\n"
+        f"## 事実ログ（自動生成 / stop.py）\n"
+        f"- 記録時刻: \n"
+        f"\n"
+        f"<!-- {SESSION_JSON_MARKER}\n"
+        f"{{\n"
+        f'  "session": "{yyyymmdd}",\n'
+        f'  "patterns": [],\n'
+        f'  "successes": [],\n'
+        f'  "failures": [],\n'
+        f'  "todos": []\n'
+        f"}}\n"
+        f"-->\n"
+    )
+
+
+def ensure_session_file(yyyymmdd: str) -> None:
+    os.makedirs(SESSIONS_DIR, exist_ok=True)
+    path = get_session_path(yyyymmdd)
+    # wx フラグ相当: ファイルが存在しない場合のみ作成（TOCTOU安全）
+    try:
+        with open(path, 'x', encoding='utf-8') as f:
+            f.write(create_session_template(yyyymmdd))
+        print(f'[Stop] セッションファイルを作成しました: {path}', file=sys.stderr)
+    except FileExistsError:
+        _update_facts_timestamp(path)
+
+
+def _update_facts_timestamp(path: str) -> None:
+    with open(path, 'r', encoding='utf-8') as f:
+        content = f.read()
+    now = datetime.now(timezone.utc).astimezone().strftime('%Y-%m-%d %H:%M:%S')
+    updated = re.sub(r'(- 記録時刻: ).*', rf'\g<1>{now}', content)
+    if updated != content:
+        with open(path, 'w', encoding='utf-8') as f:
+            f.write(updated)
+
+
+def extract_session_patterns(yyyymmdd: str) -> list:
+    path = get_session_path(yyyymmdd)
+    if not os.path.exists(path):
+        return []
+    with open(path, 'r', encoding='utf-8') as f:
+        content = f.read()
+    match = re.search(rf'<!-- {SESSION_JSON_MARKER}\s*(.*?)-->', content, re.DOTALL)
+    if not match:
+        return []
+    try:
+        data = json.loads(match.group(1).strip())
+        return data.get('patterns', [])
+    except json.JSONDecodeError:
+        return []
+
+
+def _parse_session_date(yyyymmdd: str):
+    try:
+        return datetime.strptime(yyyymmdd, '%Y%m%d').date()
+    except ValueError:
+        return date.min
+
+
+def count_sessions_since(registered_yyyymmdd: str) -> int:
+    if not os.path.isdir(SESSIONS_DIR):
+        return 1
+    registered = _parse_session_date(registered_yyyymmdd)
+    count = sum(
+        1 for fname in os.listdir(SESSIONS_DIR)
+        if fname.endswith('.tmp') and _parse_session_date(fname[:-4]) >= registered
+    )
+    return max(count, 1)
+
+
+def load_patterns() -> dict:
+    if os.path.exists(PATTERNS_FILE):
+        with open(PATTERNS_FILE, 'r', encoding='utf-8') as f:
+            return json.load(f)
+    return {"patterns": []}
+
+
+def save_patterns(data: dict) -> None:
+    os.makedirs(os.path.dirname(PATTERNS_FILE), exist_ok=True)
+    with open(PATTERNS_FILE, 'w', encoding='utf-8') as f:
+        json.dump(data, f, ensure_ascii=False, indent=2)
+
+
+def update_patterns(yyyymmdd: str) -> None:
+    new_observations = extract_session_patterns(yyyymmdd)
+    data = load_patterns()
+    today = date.today()
+
+    for obs in new_observations:
+        pid = obs.get('id')
+        if not pid:
+            continue
+        description = obs.get('description', '')
+        existing = next((p for p in data['patterns'] if p['id'] == pid), None)
+        if existing is None:
+            data['patterns'].append({
+                "id": pid,
+                "description": description,
+                "registered_date": yyyymmdd,
+                "trust_score": 0.1,
+                "promotion_candidate": False,
+                "observations": [{"date": yyyymmdd}],
+                "last_updated": yyyymmdd,
+            })
+        else:
+            if not any(o['date'] == yyyymmdd for o in existing['observations']):
+                existing['observations'].append({"date": yyyymmdd})
+                existing['last_updated'] = yyyymmdd
+
+    active = []
+    for pattern in data['patterns']:
+        if pattern.get('promoted', False):
+            active.append(pattern)
+            continue
+
+        registered = _parse_session_date(pattern['registered_date'])
+        days_elapsed = (today - registered).days
+
+        if days_elapsed >= EXPIRY_DAYS:
+            continue
+
+        sessions_total = count_sessions_since(pattern['registered_date'])
+        obs_count = len(pattern['observations'])
+        trust = round(min(1.0, max(0.1, obs_count / sessions_total)), 2)
+
+        pattern['trust_score'] = trust
+        pattern['promotion_candidate'] = (
+            days_elapsed >= COOLING_DAYS and trust >= PROMOTION_THRESHOLD
+        )
+        active.append(pattern)
+
+    data['patterns'] = active
+    save_patterns(data)
+
+    print(f'[Stop] セッション終了処理が完了しました', file=sys.stderr)
+
+
+def main():
+    try:
+        json.loads(sys.stdin.read())
+    except (json.JSONDecodeError, ValueError):
+        pass
+
+    cwd = os.getcwd()
+    if is_worktree(cwd):
+        sys.exit(0)
+
+    today_str = date.today().strftime('%Y%m%d')
+    ensure_session_file(today_str)
+    update_patterns(today_str)
+
+
+if __name__ == '__main__':
+    main()

c3/_template/.claude/hooks/validate_skill_change.py

@@ -0,0 +1,33 @@
+#!/usr/bin/env python3
+"""PostToolUse hook: remind to test when skills/ files are modified."""
+
+import json
+import sys
+import os
+
+sys.stdout.reconfigure(encoding='utf-8')
+sys.stderr.reconfigure(encoding='utf-8')
+
+
+def main():
+    try:
+        payload = json.loads(sys.stdin.read())
+    except (json.JSONDecodeError, ValueError):
+        sys.exit(0)
+
+    if payload.get('tool_name') not in ('Write', 'Edit'):
+        sys.exit(0)
+
+    file_path = payload.get('tool_input', {}).get('file_path', '')
+    normalized = file_path.replace('\\', '/')
+
+    if '/.claude/skills/' not in normalized:
+        sys.exit(0)
+
+    skill_name = os.path.basename(file_path)
+    print(f'[C3] .claude/skills/{skill_name} を変更しました。実際のエージェント動作で確認してください。')
+    sys.exit(0)
+
+
+if __name__ == '__main__':
+    main()

c3/_template/.claude/hooks/worktree_guard.py

@@ -0,0 +1,53 @@
+#!/usr/bin/env python3
+"""PreToolUse hook: worktree boundary guardrail.
+
+PO_WORKTREE_GUARD=1 が設定されている場合のみ動作する。
+parallel-orchestra が read_only:false タスクを起動するときに自動セットする。
+Write / Edit ツールの対象パスが CWD（worktree ルート）外であればブロックする。
+"""
+
+import json
+import os
+import sys
+
+sys.stdout.reconfigure(encoding='utf-8')
+sys.stderr.reconfigure(encoding='utf-8')
+
+
+def main():
+    if os.environ.get('PO_WORKTREE_GUARD') != '1':
+        sys.exit(0)
+
+    try:
+        payload = json.loads(sys.stdin.read())
+    except (json.JSONDecodeError, ValueError):
+        sys.exit(0)
+
+    tool_name = payload.get('tool_name', '')
+    if tool_name not in ('Write', 'Edit'):
+        sys.exit(0)
+
+    file_path = payload.get('tool_input', {}).get('file_path', '')
+    if not file_path:
+        sys.exit(0)
+
+    cwd = os.path.realpath(os.getcwd())
+    resolved = os.path.realpath(
+        file_path if os.path.isabs(file_path) else os.path.join(cwd, file_path)
+    )
+
+    if resolved != cwd and not resolved.startswith(cwd + os.sep):
+        print(
+            f'[WorktreeGuard BLOCK] worktree 外へのファイル操作をブロックしました。\n'
+            f'  対象パス: {file_path}\n'
+            f'  解決パス: {resolved}\n'
+            f'  許可範囲: {cwd}',
+            file=sys.stderr
+        )
+        sys.exit(2)
+
+    sys.exit(0)
+
+
+if __name__ == '__main__':
+    main()

c3/_template/.claude/rules/code-review-checklist.md

@@ -0,0 +1,91 @@
+# Code Review Checklist
+
+## 必須チェック項目（全作成物共通）
+
+### コード品質
+- [ ] 関数の責務が単一か（単一責任原則・1関数1役割）
+- [ ] 関数の長さが適切か（目安50行以内。超える場合は分割を検討）
+- [ ] ネストの深さが適切か（目安3段階以内。深い場合は早期リターンや関数分割を検討）
+- [ ] マジックナンバー・マジック文字列が定数化されているか
+- [ ] デッドコード（到達不能コード・未使用変数・未使用関数）が残っていないか
+- [ ] コメントアウトされたコードが残っていないか（削除またはチケット化すること）
+- [ ] 不要なデバッグ出力（console.log / print等）が残っていないか
+
+### 命名規則
+- [ ] 変数・関数名が意図を表しているか（何をするかが名前からわかるか）
+- [ ] ブール値の変数名が is / has / can / should で始まっているか
+- [ ] 略語を使わずに書かれているか（tmp → temporary、btn → button等）
+- [ ] 一貫した命名規則が守られているか（camelCase / snake_case等がコードベース全体で統一されているか）
+
+### エラーハンドリング
+- [ ] 全ての例外・エラーが適切にハンドリングされているか
+- [ ] エラーを握りつぶしていないか（空のcatch / 無言のfailが存在しないか）
+- [ ] エラー発生時にリソース（ファイル・DB接続・ネットワーク）が正しく解放されているか
+- [ ] ユーザーへのエラーメッセージが適切か（内部情報を含まないか・わかりやすいか）
+- [ ] エラーの伝播方法が適切か（再スロー・ラップ・変換が適切か）
+
+### ログ
+- [ ] ログ出力が適切なレベル（DEBUG / INFO / WARN / ERROR）で行われているか
+- [ ] 個人情報・秘密情報がログに出力されていないか
+- [ ] トラブルシューティングに十分な情報がログに含まれているか
+- [ ] ログが過剰でないか（ループ内での大量出力等）
+
+### テスト
+- [ ] 新機能・修正に対してテストが追加・更新されているか
+- [ ] 既存テストが全て通過するか
+- [ ] テスト名から何をテストしているか明確にわかるか
+- [ ] テストが実装の内部ロジックに依存しすぎていないか（振る舞いをテストしているか）
+
+### 型安全性
+- [ ] 型アノテーション・型宣言が適切に付いているか（TypeScript / Python等）
+- [ ] `any` 型や型アサションの多用がないか（あれば理由がコメントで記載されているか）
+- [ ] null / undefined の扱いが安全か（null チェック・Optional チェーニング等）
+
+### 保守性
+- [ ] 重複コードがないか（DRY原則）
+- [ ] 変更に強い設計か（マジックナンバー・ハードコードされた設定がないか）
+- [ ] 複雑なロジックに説明コメントが付いているか
+- [ ] 循環依存が発生していないか
+
+### 並行処理・スレッド安全性
+- [ ] 共有リソースへのアクセスが適切に排他制御されているか（ロック・ミューテックス・セマフォ等）
+- [ ] 競合状態（Race Condition）が発生しないか
+- [ ] デッドロックが発生しないか（ロック取得順序が一定か）
+- [ ] 非同期処理のキャンセル・タイムアウトが適切に実装されているか
+
+## 推奨チェック項目（全作成物共通）
+- [ ] 依存ライブラリの追加が妥当か（既存ライブラリで代替できないか）
+- [ ] ドキュメント（README・API仕様等）が更新されているか
+- [ ] コードの変更がアーキテクチャ方針と一致しているか
+
+---
+
+## 作成物別チェック項目
+
+### Web API / バックエンド向け
+- [ ] N+1クエリが発生していないか（ループ内でのDB呼び出し等）
+- [ ] 不要なデータを取得していないか（SELECT * の多用・不要なJOIN等）
+- [ ] トランザクション境界が適切か（複数テーブル更新時の整合性）
+- [ ] ページネーション・件数制限が実装されているか（大量データの一括取得がないか）
+- [ ] レスポンスに不要なフィールドが含まれていないか
+- [ ] 非同期処理が適切に実装されているか（Promise / async-await の正しい使用）
+- [ ] タイムアウトが設定されているか（外部API呼び出し・DB接続等）
+
+### フロントエンド向け
+- [ ] 不要な再レンダリングが発生していないか（メモ化・依存配列の設定等）
+- [ ] メモリリークが発生していないか（イベントリスナー・タイマーの解放）
+- [ ] 大量データのレンダリングに仮想スクロール等の対策があるか
+- [ ] アクセシビリティ（aria属性・キーボード操作・コントラスト）が考慮されているか
+- [ ] 国際化（i18n）対応が必要な場合に対応されているか
+
+### バッチ処理 / 非同期処理向け
+- [ ] 冪等性が担保されているか（同じ処理を複数回実行しても問題ないか）
+- [ ] 処理の途中失敗時にリカバリできるか（再実行・チェックポイント）
+- [ ] メモリ使用量が適切か（大量データを一括ロードしていないか・ストリーム処理等）
+- [ ] キューの詰まり・バックプレッシャーへの対策があるか
+
+### ライブラリ / SDK向け
+- [ ] 公開APIのインターフェースが安定しているか（破壊的変更がないか）
+- [ ] 破壊的変更がある場合にバージョンが適切に上がっているか（セマンティックバージョニング）
+- [ ] 公開APIにドキュメント（型定義・JSDoc / docstring等）が付いているか
+- [ ] ライブラリ利用者の環境を壊さないか（グローバル変数の汚染・副作用等）

c3/_template/.claude/rules/promoted/index.md

@@ -0,0 +1,5 @@
+# Promoted Rules
+<!-- このファイルは /promote-pattern コマンドが自動で更新する。手動で編集しないこと。 -->
+
+<!-- C3:PROMOTED_RULES:BEGIN -->
+<!-- C3:PROMOTED_RULES:END -->

c3/_template/.claude/rules/security-review-checklist.md

@@ -0,0 +1,84 @@
+# Security Review Checklist
+
+## 必須チェック項目（OWASP Top 10 準拠・全作成物共通）
+
+### インジェクション
+- [ ] SQLインジェクションの対策がされているか（プレースホルダ・パラメータバインド使用等）
+- [ ] OSコマンド・インジェクションの対策がされているか（シェル呼び出し禁止・引数エスケープ）
+- [ ] XSS（クロスサイトスクリプティング）の対策がされているか（出力エスケープ・CSP）
+- [ ] LDAPインジェクションの対策がされているか（LDAP使用時）
+- [ ] XMLインジェクション・XXEの対策がされているか（XML処理時）
+
+### 認証・認可
+- [ ] 認証が適切に実装されているか
+- [ ] 認可チェックが全エンドポイントに実装されているか
+- [ ] セッションID固定化攻撃の対策がされているか（ログイン後にセッションIDを再生成しているか）
+- [ ] セッション管理が適切か（タイムアウト・Secure属性・HttpOnly属性）
+- [ ] セッションハイジャック対策がされているか（Secure/HttpOnly Cookie・トークン検証）
+- [ ] ブルートフォース・辞書・パスワードリスト攻撃の対策がされているか（アカウントロックアウト・レートリミット・CAPTCHA）
+- [ ] リプレイ攻撃の対策がされているか（ノンス・タイムスタンプ・ワンタイムトークン検証）
+- [ ] パスワードが適切にハッシュ化されているか（bcrypt・Argon2等）
+
+### JWT・トークン管理
+- [ ] JWT の署名アルゴリズムが適切か（`alg: none` を許可していないか・HS256/RS256等を明示指定しているか）
+- [ ] JWT の有効期限（exp）が設定されているか
+- [ ] JWT の秘密鍵・公開鍵が適切に管理されているか（ハードコードされていないか）
+- [ ] リフレッシュトークンの無効化（ローテーション・ブラックリスト）が実装されているか
+- [ ] OAuth2 / OIDC を使用する場合、state パラメータで CSRF 対策がされているか
+
+### 秘密情報
+- [ ] APIキー・パスワード・トークンがハードコードされていないか
+- [ ] 秘密情報が .gitignore 対象ファイルで管理されているか
+- [ ] ログに秘密情報が出力されていないか
+
+### 入力値バリデーション
+- [ ] ユーザー入力が全てバリデーションされているか
+- [ ] ディレクトリトラバーサルの対策がされているか（パスのサニタイズ・正規化・絶対パス検証）
+- [ ] ファイルアップロードの検証が実装されているか（拡張子・MIMEタイプ・サイズ）
+- [ ] リダイレクト先URLの検証がされているか（オープンリダイレクト対策）
+
+### SSRF（Server-Side Request Forgery）
+- [ ] サーバーから外部URLへリクエストを行う箇所で、送信先URLがユーザー入力から生成されていないか
+- [ ] 内部ネットワーク・クラウドメタデータエンドポイント（169.254.169.254等）へのアクセスをブロックしているか
+- [ ] URLのホスト名をホワイトリストで制限しているか（または DNS リバインディング対策をしているか）
+- [ ] HTTPリダイレクトのフォローを無効化または制限しているか
+
+### メモリ安全性
+- [ ] バッファオーバフロー攻撃の対策がされているか（境界チェック・安全なAPI使用・メモリ安全な言語の選択）
+
+### 通信の安全性
+- [ ] HTTPS/TLSが強制されているか（スニファ・電波傍受対策）
+- [ ] HSTSが設定されているか
+- [ ] 証明書の検証が正しく実装されているか（自己署名証明書の無効化等）
+
+### 依存関係
+- [ ] 依存ライブラリに既知の脆弱性がないか（npm audit / pip audit 等）
+- [ ] 不要な権限・スコープを持つライブラリがないか
+
+## 推奨チェック項目（全作成物共通）
+- [ ] エラーメッセージに内部情報（スタックトレース・DB構造等）が含まれていないか
+- [ ] セキュリティヘッダーが適切に設定されているか（X-Frame-Options・X-Content-Type-Options等）
+- [ ] CORS の設定が適切か（`Access-Control-Allow-Origin: *` の多用・不必要なオリジン許可がないか）
+- [ ] セキュリティイベント（認証失敗・認可エラー・不正入力等）が適切にログ記録されているか（OWASP A09 対策）
+
+---
+
+## 作成物別チェック項目
+
+### Webアプリケーション向け
+- [ ] CSRF（クロスサイトリクエストフォージェリ）の対策がされているか（CSRFトークン・SameSite Cookie）
+- [ ] フォームジャッキング攻撃の対策がされているか（CSP・SRI によるスクリプト改ざん検知）
+- [ ] MITB（Man-in-the-Browser）攻撃の対策がされているか（CSP・サブリソース完全性 SRI の設定）
+
+### AI機能を持つシステム向け
+- [ ] プロンプトインジェクション攻撃の対策がされているか（入力サニタイズ・出力検証・システムプロンプトの分離）
+
+### メール送信機能向け
+- [ ] スパムメール対策がされているか（送信レートリミット・CAPTCHA・SPF/DKIM/DMARC設定）
+- [ ] メールヘッダーインジェクションの対策がされているか
+
+### 公開Webサービス向け
+- [ ] DDoS・F5アタック（大量リクエスト）への対策がされているか（アプリケーション層のレートリミット・リクエスト数制限）
+
+### 外部APIやDNSに依存するシステム向け
+- [ ] DNSキャッシュポイズニングの影響を軽減できているか（HTTPS証明書検証により名前解決が汚染されても通信先を検証できるか）