content
速く作る。でも、証拠は隠さない。
「AIで速く作る」と「本番グレードの品質・セキュリティ」を両立させるために、私たちは自社プロダクトの検査結果を GitHub で公開しています。ここは、その証拠棚です。
毎回、機械で品質を強制しています
人手のレビューだけに頼りません。型検査・自動テスト・規約チェックを CI で毎回強制し、緑にならないものは世に出しません。
PHP は最上位レベルの静的解析、型は strict を全システムで通しています。
納品前に約5,900項目を自動で検査します(2026年7月時点)。
約7週間の開発全履歴を GitHub で公開。数字は誰でも再現できます。
稼働中のアプリに、自分たちで実弾を撃っています
認可された自己診断(レッドチーム型)を反復しています。稼働中のアプリに実際の攻撃を仕掛け、見つかった指摘は修正 PR で追跡し、再診断で「露出ゼロ(EXPOSED 0)」を確認します。
使い捨ての隔離環境で稼働アプリに攻撃(認証・テナント分離・注入・情報漏洩など)を総当たりします。
見つかった指摘は深刻度・証拠・対応を記録し、修正 PR で一件ずつ追跡します。
同じ攻撃を再実行し EXPOSED 0 を確認。診断の再現手順(ハーネス)も公開しています。
製品例:invoice / clear / deal / vault / Records で EXPOSED 0(修正後・2026年7月時点)。診断記録と再現ハーネスは各リポジトリの docs/security/ にあります。
※ これは認可された自己 / maintainer-run 診断です。第三者機関によるペネトレーションテストではありません。診断・テスト・静的解析はいずれも当社が世に出す自社プロダクトに対するものです。
完成ではなく、継続です
セキュリティは一度きりの合格ではありません。点検は続けますし、これから広げていく領域(フロントエンドの詳細診断など)も、隠さず明示していきます。
- ✓指摘は「隠して直す」のではなく、修正 PR として公開履歴に残します。
- ✓数値(テスト数・行数・PR 数)は計測日を明記し、実測のみを載せます。
- ✓未実施の領域があるときは、その旨も正直に書きます。
面談では、画面共有で証拠をお見せします
実際のリポジトリ(GitHub)を一緒に見ながら、実装方針・テスト・セキュリティの根拠を短時間で確認いただけます。
数値は 2026年7月時点の実測値で、GitHub 上で再現できます。「品質・セキュリティ」は当社が開発・運用するプロダクト群の作り込みを指します。