メインコンテンツへスキップ
Lovable で構築したアプリケーションを保護するための詳しい手順は、アプリの公開準備とよくある問題を回避するための詳細ガイドを参照してください。

APIキー

Lovable はフロントエンドコードを生成し、そのコードはブラウザ上で実行されます。そのため、機密データはいかなる種類のものであってもコード内に保存すべきではありません。代わりに、Lovable は安全にシークレットを保存するための機能を提供しています。

APIキーの自動検出

サードパーティのサービスに接続するには、APIキーやトークンが必要になることがよくあります。チャットにAPIキーをペーストすると、Lovable が自動的にそれを検出し、認証情報のような機密データをフロントエンドコードに直接ハードコードしないよう警告します。APIキーをペーストする代わりに、実現したいことを説明してください。Lovable が安全な実装方法を案内します。 APIキー自動検出の例 たとえば、次のようにする代わりに: 「Service X を呼び出すためにこの APIキー を追加して: x_test_abc123…」 こうしてみてください: 「テキストレスポンスを生成するために、Service X の API と連携したい」 すると Lovable は、次のような手順を示します:
  1. APIキーを Secrets ストレージに安全に保存する。
  2. サーバーサイドで API コールを行うエッジ関数を作成する。
  3. フロントエンドコードからそのエッジ関数を呼び出す。
この方法なら、機密性の高い認証情報を安全に保ち、Webアプリケーションのセキュリティにおけるベストプラクティスに従うことができます。

RLS(ロールレベルセキュリティ)

RLS ポリシーは、データベース内のどのデータに誰がアクセスできるかを決定します。プロジェクトを公開する前に慎重に確認し、開発を進める中でも継続的に見直して更新することをおすすめします。

セキュリティスキャン

公開前に、Lovable は高度な AI 搭載セキュリティスキャナーによるセキュリティ警告を表示し、重大な問題がある場合は本当に公開してよいか確認を求めます。 アプリのデータを安全に保つため、公開前にすべての重大な問題を解決することを強くおすすめします。アプリに大きな変更を加えたときは必ずセキュリティレビューを再確認し、その都度新たにレビューを実施してください。 Pre-publish security review
セキュリティスキャナーに警告やエラーが表示されない場合でも、アプリにセキュリティ上の問題がまったく存在しないことが保証されるわけではありません。公開前に、利用可能なツールを使ってアプリのセキュリティを徹底的に確認することをおすすめします。特に、アプリが機密性の高い個人データを扱う場合や重要な機能を提供している場合、またデータ漏えいが実際の人々に深刻な影響を及ぼす可能性がある場合には、専門のセキュリティコンサルタントに依頼してアプリ監査を実施することを検討してください。
Lovable には、公開前にコード内の潜在的な脆弱性を特定するのに役立つ、包括的な AI 搭載セキュリティスキャン機能が含まれています。

セキュリティビュー

セキュリティビューでは、データベースセキュリティアドバイザー、データベーススキーマと RLS(Row Level Security)ポリシーに対する AI による詳細なレビュー、さらにコードに対する AI ベースのセキュリティレビューなど、さまざまなソースからの検出結果が表示されます。この総合的なアプローチにより、潜在的なセキュリティ問題をより広範にカバーできます。 検出結果は重大度レベルごとに分類されます:
  • Error: 直ちに対処すべき重大なセキュリティ問題です。「Try to Fix」オプションが含まれますが、すべてのケースが解決されることは保証されません。
  • Warning: 確認および対応が推奨される重要なセキュリティ上の懸念事項です。
  • Info: 検討に値する一般的なセキュリティ推奨事項やベストプラクティスです。
「Security Review」ボタンをクリックすると、データベーススキーマや RLS ポリシーだけでなくコードベース全体を対象に、アプリケーションコード内の追加の脆弱性も検査する、より包括的な AI 分析が実行されます。 API key detection in action

オンデマンドセキュリティレビュー

Lovable に「自分のアプリのセキュリティをレビューして」などと依頼することで、いつでもセキュリティレビューを実行できます。 Lovable は次のことを行います。
  1. コードベース全体を分析し、セキュリティ脆弱性を検出します。
  2. XSS 対策、入力値のサニタイズ処理、認証の不備などの一般的な問題をチェックします。
  3. RLS ポリシーとデータベースのセキュリティをレビューします。
  4. 具体的な推奨事項を含む詳細なレポートを提供します。
セキュリティレビューの見つけ方 実行中のセキュリティレビュー
注意:スキャナーから警告が出ていない場合でも、本番アプリケーションでは定期的にオンデマンドセキュリティレビューを依頼することをおすすめします。

検出項目の種類と対処方法

ほとんどの検出項目は「Try to Fix」ボタンを押すだけで自動的に修正できますが、一部は手動で対応する必要があります。

流出パスワード保護が無効になっている場合

Lovable Cloud を使用している場合は、Cloud -> Users -> Auth Settings -> Email の「Password HIBP Check」スイッチを有効にしてください。 Supabase DB を使用している場合は、次の手順に従ってください: https://supabase.com/docs/guides/auth/password-security#password-strength-and-leaked-password-protection