# instinct: JWTのSECRET_KEYが開発用プレースホルダーのまま本番稼働するとCRITICAL脆弱性になる

## 根本原因
`SECRET_KEY=please-change-in-production` のようなデフォルト値が本番環境に持ち込まれると、
JWTトークンが容易に偽造されてなりすまし攻撃が成立する。

## ポイント
- アプリケーション起動時（`lifespan`）に `SECRET_KEY` が既知のプレースホルダーを含む場合は `CRITICAL` レベルのログ警告を出力する
- 理想は起動自体を拒否する（`raise RuntimeError`）か、少なくともプロセスを警告ステータスにする
- `please-change`, `changeme`, `secret`, `your-secret-key` 等のパターンを検出リストに含める
- ステージング環境でも本番と異なるランダムなキーを使う

## 関連Issue
- anime#408 / anime PR#310