この規模の監査はどれくらい時間がかかりますか？

コードベースのサイズ次第です。小さなvibe-codedプロダクトなら数日で読めますし、12年物のモノリスなら数週間を要します。重要なのは順序であり、スピードではありません。スタートで速いことはゴールで遅いことを意味します。

なぜセキュリティではなく地図から始めるのですか？

文脈なしのセキュリティスキャンは芝居です。AIは一般的なものを見つけ、しばしばこの具体的なシステムでは問題ですらありません。まずモデルにmermaidの地図を与え、その後でSQLインジェクション、認証バイパスなどの本物の穴を探させます。

1か月でプロダクトを出したvibe-coderにもこのプロセスは効きますか？

はい、むしろより効きます。vibe-codedシステムではAIは最新だからという理由でパッケージの最新版を入れたがり、ヘルパー関数を呼ばれないまま残し、.envファイルやハードコードされたAPIキーについて尋ねませんでした。7ステージすべてが当てはまり、道のりが短いだけです。

本当に引き継ぎシステムの100%が穴だらけなのですか？

過去1年の私たちの実体験では、はい、すべてのシステムにオーナーが存在を知らなかった重大なセキュリティ問題が少なくとも1つありました。モデルは強くなり続け、インターネットは自動スキャナーで溢れ、レガシーコードはその場に残っています。問題は誰がその穴を最初に見つけるかだけです。

AIで引き継ぎコードを7段階で監査する

★ 要点

過去半年で数十の引き継ぎコードベースを監査し、その100%にオーナーが存在を知らなかった重大なセキュリティ問題が少なくとも1つあった。
ガイドは2グループを対象、Claude CodeやCodexで数か月でプロダクトを作ったvibe-coderと、12年物のモノリスを抱える古いシステムのオーナー。
順序がスピードより大事。7ステージ、地図、パッケージとバージョン、統合ポイント、非同期レイヤー、デッドコード、インフラとセキュリティ、優先順位。
モデルは脆弱性発見の能力が恐ろしく強くなった。セキュリティ専門家が1週間で見つけていたものを、ClaudeやCodexは1時間で見つける、攻撃者も同じ優位を使っている。
デッドコードはAIエージェント自身を惑わせる。標準の/reviewと/security-reviewコマンドは多くのチームが使っていない最低限の衛生だ。

#レガシーコード#vibe-coding#セキュリティ#Claude Code#Codex#デッドコード#コード監査

よくある質問

この規模の監査はどれくらい時間がかかりますか？: コードベースのサイズ次第です。小さなvibe-codedプロダクトなら数日で読めますし、12年物のモノリスなら数週間を要します。重要なのは順序であり、スピードではありません。スタートで速いことはゴールで遅いことを意味します。
なぜセキュリティではなく地図から始めるのですか？: 文脈なしのセキュリティスキャンは芝居です。AIは一般的なものを見つけ、しばしばこの具体的なシステムでは問題ですらありません。まずモデルにmermaidの地図を与え、その後でSQLインジェクション、認証バイパスなどの本物の穴を探させます。
1か月でプロダクトを出したvibe-coderにもこのプロセスは効きますか？: はい、むしろより効きます。vibe-codedシステムではAIは最新だからという理由でパッケージの最新版を入れたがり、ヘルパー関数を呼ばれないまま残し、.envファイルやハードコードされたAPIキーについて尋ねませんでした。7ステージすべてが当てはまり、道のりが短いだけです。
本当に引き継ぎシステムの100%が穴だらけなのですか？: 過去1年の私たちの実体験では、はい、すべてのシステムにオーナーが存在を知らなかった重大なセキュリティ問題が少なくとも1つありました。モデルは強くなり続け、インターネットは自動スキャナーで溢れ、レガシーコードはその場に残っています。問題は誰がその穴を最初に見つけるかだけです。

引き継ぎコードとAI。コードベースを段階的に整え、重大なバグをあぶり出すガイド

よくある質問

ブログの他の記事

コンピューター操作のあり方は根本から変わる - AI実践者としての賭け

リトアニアの汚職と縁故主義を終わらせるためのAIシステムを設計した

OpenAIとGoogleを8つのシネマティックシーンで対決させた。結果は予想と違っていました。