| # | 重大度 | 内容 | 対応 |
|---|---|---|---|
| 1 | FIXED | JSONファイルに著者実名 → Gitにコミット可能 | .gitignoreに追加。Git追跡なし確認済み |
| 2 | FIXED | 座長実名がPythonにハードコード | 外部JSON(chair_data.json)に分離。.gitignoreで除外 |
| 4 | FIXED | run_experiment.pyの入力検証なし(API課金リスク) | min/max制限(1〜500)+ ValueError捕捉を追加 |
| # | 重大度 | 内容 | 対応方針 | 期限 |
|---|---|---|---|---|
| 3 | HIGH | HTMLレポートに著者名がエスケープなし(XSS + PII) | utils.py のesc()を全generate_htmlに適用。次回セッションで一括対応 | 1週間 |
| 5 | MEDIUM | CSVパス・PDFパスのハードコード | 引数化 or 設定ファイル化 | 次回リリース |
| 6 | MEDIUM | solve_conflicts.pyの相対パス | BASE_DIR使用に統一 | 次回リリース |
| 7 | MEDIUM | AI応答パースの型検証なし | Zodスキーマでバリデーション追加 | 次回リリース |
| 8 | MEDIUM | コンソール出力に著者実名 | utils.py のmask_name()を適用 | 次回リリース |
| 9 | LOW | APIキーフォーマットのログ出力 | リスク極低。随時対応 | 随時 |
| 10 | LOW | http.serverが0.0.0.0バインド | --bind 127.0.0.1を推奨記載 | 随時 |
| 項目 | 状態 |
|---|---|
| APIキーのハードコードなし | OK |
| SQLインジェクション防止 | OK |
| 認証チェック実施 | OK |
| PIIマスキング(API送信時) | OK |
| コマンドインジェクション防止 | OK |
| CSVパース安全性 | OK |
| JSONファイルのPII管理 | FIXED(.gitignore追加) |
| HTMLエスケープ(XSS) | 要対応 |
| コンソールPIIマスク | 要対応 |