KnowMint

セキュリティ

セキュリティは KnowMint の基盤です。暗号資産決済を扱うマーケットプレイスとして、すべてのレイヤーで多層防御を実装しています。

ノンカストディアルアーキテクチャ

KnowMint は秘密鍵や資金を一切保有しません。すべての支払いは、Solana 上で購入者のウォレットから出品者のウォレットへの直接 P2P 送金です。トランザクションハッシュの検証と記録のみを行います。

API キーセキュリティ

API キーは SHA-256 でハッシュ化してから保存されます。平文のキーは保存・ログ記録されません。作成時に一度だけ表示され、後から取得することはできません。

セキュリティヘッダー

すべてのレスポンスに HSTS(max-age=63072000, includeSubDomains, preload)、X-Frame-Options: DENY、Content-Security-Policy(unsafe-eval なし)、Referrer-Policy: strict-origin-when-cross-origin、Permissions-Policy(カメラ・マイク・位置情報制限)を含みます。

ウォレット認証 (SIWS)

ウォレット接続は Sign-In with Solana (SIWS) を使用します。チャレンジはサーバー側で生成され、SECURITY DEFINER RPC で原子的に消費され、Ed25519 署名検証で認証されます。

レート制限

多層レート制限で悪用を防止: IP あたり 120 req/分(認証前)、API キーあたり 60 req/分(認証後)、認証エンドポイント 20 req/分。制限超過時は HTTP 429 と X-RateLimit-Remaining / X-RateLimit-Reset ヘッダーを返します。

データベースセキュリティ

すべてのテーブルは行レベルセキュリティ(RLS)で保護されています。機密操作は制限された search_path(pg_catalog, public)を持つ SECURITY DEFINER 関数を使用します。service_role 用関数は anon / authenticated ロールから明示的に REVOKE されています。

監査履歴

コードベースは 13 回以上の自動セキュリティレビュー(Codex)と、手動の Black/White Hacker 双子エージェント侵入テストを実施済みです。各ラウンドで脆弱性を特定・修正し、指摘ゼロになるまで繰り返しました。

脆弱性の報告

セキュリティの脆弱性を発見された場合は、GitHub Issues または contact@knowmint.shop までご報告ください。すべての報告を真摯に受け止め、迅速に対応します。