Priority
HIGH
背景
多層検出が推奨ベストプラクティス。(1) pre-commit: gitleaks(regex 高速、数ミリ秒)でローカル時点ブロック、(2) CI: TruffleHog verified(クレデンシャル生存確認付き、誤検知低減)を PR マージゲートに。GitGuardian 2025 の「AI エージェントで漏洩率 2x」はコミット時点の検出がボトルネック。
現状(未検証 — 実装着手前に要確認)
- `.pre-commit-config.yaml` の有無・内容 未検証
- `.github/workflows/ci.yml:32` で `secrets.ANTHROPIC_API_KEY` 使用(CI は存在)
- 未検証: secret scan ステップが CI workflow に既に組み込まれているか
- 未検証: 履歴スイープ(git history 全体のスキャン)が行われているか
提案
- `.pre-commit-config.yaml` に gitleaks を追加
- `.github/workflows/security.yml` を新設し TruffleHog verified を PR で実行
- 定期 workflow で履歴全体をスキャン(週次 cron)
- 検出時の対応手順を SECURITY.md に記載(rotate → history rewrite → force-push は要承認)
完了条件
参考
Part of #17
Priority
HIGH
背景
多層検出が推奨ベストプラクティス。(1) pre-commit: gitleaks(regex 高速、数ミリ秒)でローカル時点ブロック、(2) CI: TruffleHog verified(クレデンシャル生存確認付き、誤検知低減)を PR マージゲートに。GitGuardian 2025 の「AI エージェントで漏洩率 2x」はコミット時点の検出がボトルネック。
現状(未検証 — 実装着手前に要確認)
提案
完了条件
参考
Part of #17