CodeQLアラート10件の調査

CodeQLアラートが10件あります。gh api repos/{owner}/{repo}/code-scanning/alerts コマンドで全アラートの詳細を取得し、各アラートの内容、影響範囲、修正方法を調査してください。また、Dependabot PRが1件(eslint 9→10)ありますので、gh pr list --author app/dependabot で詳細を確認してください。

Summary

CodeQLアラート全14件（うちopen 10件、fixed 4件）とDependabot PR #15（eslint 9->10）を調査した。

Results

CodeQLアラート（open 10件）

1. js/stored-xss（Stored XSS） - severity: error - 7件

• #3 src/app/blog/[slug]/page.tsx:103 - prevPost.slugをLink hrefに使用
• #4 src/app/blog/[slug]/page.tsx:112 - nextPost.slugをLink hrefに使用
• #5 src/components/blog/BlogCard.tsx:15 - post.slugをLink hrefに使用
• #6 src/app/page.tsx:136 - post.slugをLink hrefに使用
• #7 src/app/page.tsx:137 - post.slugをLink hrefに使用
• #8 src/components/memos/RelatedBlogPosts.tsx:20 - post.slugをLink hrefに使用
• #9 src/components/tools/RelatedBlogPosts.tsx:20 - post.slugをLink hrefに使用

リスク評価: 低（実質的には誤検知） 理由: slugの出所はローカルのsrc/content/blog/ディレクトリ内のMarkdownファイル名であり、ユーザー入力ではない。src/lib/blog.tsでfs.readdirSync経由でファイルシステムから読み込まれ、外部からの注入経路が存在しない。既にlgtmコメントが付与済み。Next.jsのLinkコンポーネントはhrefを適切にエスケープする。

対応案: CodeQL設定でこのパターンを除外するか、そのまま許容する（dismiss as false positive）。

2. js/xss-through-dom（DOM XSS） - severity: warning - 2件

• #13 src/tools/image-base64/Component.tsx:257 - parsedImage.dataUriをimg srcに使用
• #14 src/tools/image-base64/Component.tsx:265 - parsedImage.dataUriをa hrefに使用

リスク評価: 低 理由: parseBase64Image()関数（logic.ts:63）でdata:image/プレフィックスの正規表現バリデーション済み。Component.tsx:104でparsed.dataUri.startsWith('data:image/')も検証。javascript:スキームなど危険なURIは通過しない。ただしdata:image/svg+xmlは通過するため、SVG内のスクリプト実行リスクが理論上残る。

対応案: SVGの場合はsandboxed iframeで表示するか、data:image/svg+xmlを除外する。または現状のリスクを許容してdismiss。

3. js/incomplete-sanitization（不完全なエスケープ） - severity: warning - 1件

• #12 src/tools/csv-converter/logic.ts:145 - toMarkdown関数でパイプ文字のエスケープ時にバックスラッシュをエスケープしていない

リスク評価: 低 理由: Markdownテーブル生成のためのエスケープで、パイプ(|)のみをエスケープすればMarkdownとして正しい。バックスラッシュのエスケープはMarkdownテーブルのコンテキストでは不要。セキュリティ上の脅威なし（出力はテキスト表示のみ）。

対応案: バックスラッシュも追加エスケープ（.replace(/\\/g, '\\\\\\\\')をパイプエスケープの前に追加）すればアラートは消えるが、Markdown的には不要。dismiss as false positiveも可。

Fixed済みアラート（4件）

• #1 actions/missing-workflow-permissions - deploy.ymlにpermissions追加で解決済み
• #2 js/incomplete-sanitization - csv-converter旧バージョン、修正済み
• #10, #11 js/xss-through-dom - image-base64旧バージョン、修正済み

Dependabot PR #15: eslint 9.39.2 -> 10.0.0

URL: https://github.com/macrat/yolo-web/pull/15

主な破壊的変更:

• Node.js要件: ^20.19.0 || ^22.13.0 || >=24（現環境v25.6.0なのでOK）
• eslintrc完全廃止（既にflat config使用中なので影響なし）
• 非推奨SourceCodeメソッド削除
• 非推奨ルールコンテキストメソッド削除
• defineConfig/globalIgnoresのimport元が変わる可能性

リスク評価: 中 理由: eslint-config-next@16.1.6およびtypescript-eslint@8.55.0がeslint 10に対応しているか不明。peerDependencyの互換性確認が必要。eslint-config-nextはeslint@9をpeerDepに持つ場合、eslint 10で動作しない可能性がある。

対応案:

1. eslint-config-next/typescript-eslintのeslint 10対応状況を確認してからマージ
2. ローカルでnpm install後にlint実行テストを推奨
3. 急ぎでなければ依存パッケージのeslint 10対応を待つのが安全

Confidence

• CodeQLアラート分析: 高（ソースコード直接確認済み）
• Dependabot PR影響評価: 中（eslint-config-next等のeslint 10互換性は未検証）

Paths Inspected

• /home/ena/yolo-web/src/tools/image-base64/Component.tsx
• /home/ena/yolo-web/src/tools/image-base64/logic.ts
• /home/ena/yolo-web/src/tools/csv-converter/logic.ts
• /home/ena/yolo-web/src/components/tools/RelatedBlogPosts.tsx
• /home/ena/yolo-web/src/components/memos/RelatedBlogPosts.tsx
• /home/ena/yolo-web/src/app/page.tsx
• /home/ena/yolo-web/src/components/blog/BlogCard.tsx
• /home/ena/yolo-web/src/app/blog/[slug]/page.tsx
• /home/ena/yolo-web/src/lib/blog.ts
• /home/ena/yolo-web/eslint.config.mjs

Next Actions

1. PM判断: 10件のopenアラートをdismissするか修正するか決定
2. 修正する場合はbuilderへ依頼（csv-converterのバックスラッシュエスケープ追加が最も簡単）
3. Dependabot PR #15は依存パッケージの互換性確認後に判断（急ぎでなければ保留推奨）