セキュリティ対策

初めに 「個人開発のサイトなんて、誰も狙わないでしょ？」 もしそう思っているなら、今すぐその考えをゴミ箱へポイしちゃいましょう。ネットの海には、24時間365日、獲物を探して徘徊する「攻撃ボット」が溢れています。彼らにとって、あなたのサイトが「個人」か「企業」かなんて関係ありません。 でも、安心してください。 「セキュリティは、必ずしも札束で殴る必要はない」んです。 今回は個人開発をしてる現役エンジニアの視点で、最低限やっておくべき対策を開発・実装・運用のフェーズ順に紹介していこうと思います！ 【開発時】Git管理してはいけない「地雷」の見定め方 セキュリティツールを導入する前に、絶対にやってはいけないことがあります。それは 「秘密の情報をリポジトリに含めること」 です。一度でもGitHubにプッシュしてしまったら、たとえ後から削除しても履歴には残り続けます。 「何を .gitignore に入れるべきか？」——その判断基準を整理しましょう。 絶対にプッシュしてはいけない「3種の神器」 * 認証情報（Secrets）：APIキー、DBのパスワード、SSH秘