開発ログ

開発ログ:静的サイトのセキュリティスキャナー

公開サイトのセキュリティ信号を読み取り、短いレポートにするスキャナーの構築メモ。

Jun 22, 2026

構築目標

最初のバージョンは、ログインなしで公開サイトをスキャンし、レスポンスヘッダーと公開ファイルを集め、issue に貼れる短いレポートを作ります。

範囲

  1. トップページの status と redirect。
  2. セキュリティヘッダー。
  3. robots、sitemap、security.txt。
  4. CSP と分析または広告 script の衝突。
  5. 基本的な mixed content と canonical URL の確認。

実装メモ

各 finding には元の証拠を残します。ヘッダーや確認ファイルを変える修正では、証拠のないレポートは信頼されにくいです。

リスク

サイト全体のセキュリティを判断すると言いすぎないこと。確認するのは公開された衛生シグナルだけです。

次の構築

まずローカル CLI を作り、このサイトに対して実行し、その出力からレポート形式を決めます。