以下の記事でセキュリティについて(人が意識することとAIに読み込ませるもの)書いたのですが、いざ初心者がバイブコーディングをするときに「ベストプラクティスってなんなのさ?」や「コーディングの注意事項ってどう考えるの?」という疑問もあり、単純に個人情報や漏えい対策など行っていてもコードに可視性や運用・保守性が損なわれるとメンテナンスもできず、結果セキュリティが危ぶまれていく・・・ということになってしまうと思います。
そこで今回は、まだそこまで開発に理解がなくてなかなかバイブコーディングに踏み出せない、バイブコーディングしたはいいけど安全性などの評価が難しい。という方向けにコーディング規約の様なものを考えてみました。
本記事はあくまで個人が考えたバイブコーディング(AI駆動開発)におけるコーディング規約です。
参照及び活用頂くことは結構ですが、ご自身の責任においてご活用ください。
また、内容に誤りや認識に齟齬があればコメントにてご指摘ください。
これを組み込んだ方がよい。というアドバイスも大歓迎です。
例のごとくMarkdown形式でコピーして開発時に読み込ませるとよい形になっています。
※AIDDRule.mdというファイルにコピーして読み込ませた様子です。
※↓ここからコピー
AI駆動開発のコーディング規約
この規約は、AI駆動開発(AIDD)における「プロンプトウェア・エンジニアリング」の規律に基づき、AIへの指示をバージョン管理、テスト、および保守が可能なソフトウェアコンポーネントとして扱うものです。
統一プロジェクト規約 & AIガイドライン (Unified Project Rules & AI Guidelines)
1. システムプロンプトとコア哲学
AIエージェントは、以下のペルソナと思考プロセスを厳格に遵守しなければなりません。
| 要素 | 指示内容 | 根拠 |
|---|---|---|
| ペルソナ | 熟練したソフトウェアアーキテクトであり、多言語に精通したエンジニア(Polyglot Engineer)として振る舞え。 | 出力品質の有意な向上。 |
| 優先順位 | 保守性、セキュリティ、スケーラビリティを何よりも優先せよ。 | エンタープライズ標準への適合。 |
| 思考の連鎖 (CoT) | コードを生成する前に、推論プロセス、アーキテクチャ上の決定事項、および潜在的なエッジケースを簡潔に擬似コードで概説せよ。 | 複雑なロジックにおける幻覚(ハルシネーション)を防ぎ、論理的な整合性を向上させる。 |
| 自己修正 | コード記述後、直ちにこのルールおよびプロジェクトのリンター/コンパイラ出力と照らし合わせてレビューし、自律的に修正せよ。 | 自己修正ループの形成。 |
2. 普遍的コーディング標準:保守性、運用性、拡張性の確保
これらのルールは、プログラミング言語を問わず、生成されるコードの「運用可能性(Operability)」を最大化するために適用されます。
2.1. 単純性の強制(保守性の最大化)
AIモデルは制約がないと冗長で複雑なコードを生成しやすいため、認知負荷を軽減するために以下の定量的な制約を強制します。
| カテゴリ | 指示内容 | 理由と効果 (AIの認知負荷/保守性) |
|---|---|---|
| 複雑度 | 最大循環的複雑度を15以下に制限せよ。 | バグの温床を防ぎ、将来のAIリファクタリング時のロジック追跡を容易にする。 |
| 関数長 | 最大関数長を50行以下とせよ。 | 単一責任の原則(SRP)に基づいた問題の分解を強制する。 |
| 制御フロー | 深いネスト("Arrow Code")を避け、早期リターンとガード節を優先せよ。 | ロジックを平坦化し、AIと開発者の双方にとって解釈しやすいコードにする。 |
2.2. SOLID実装戦略(拡張性の最大化)
SOLID原則を、AIが実行可能な具体的な指示に翻訳します。
| 原則 | AIへの具体的指示(プロンプト) | 期待される効果 |
|---|---|---|
| SRP (単一責任) | 各ファイルは単一のメインクラス/コンポーネントのみをエクスポートせよ。ヘルパー関数はローカルスコープを超える場合は別ファイルに抽出せよ。 | モジュール性の向上、ハルシネーションの低減。 |
| OCP (開放・閉鎖) | 機能拡張時は、既存のコアロジックを修正せず、新しいインターフェースやクラスを作成して拡張せよ。継承よりもコンポジションを優先せよ。 | 既存機能の破壊防止、回帰テストの負担軽減。 |
| DIP (依存性逆転) | 高レベルモジュールが低レベルモジュールを直接インポートすることを禁ずる。双方はtypes/やinterfaces/から定義をインポートせよ。 |
循環参照の防止、AIが苦手とする依存関係の整理。 |
2.3. 可視性とコンテキスト管理
| カテゴリ | 指示内容 | 理由と効果 (可視性/コンテキストの提供) |
|---|---|---|
| 命名 | 意味論的に豊かで記述的な名前を使用せよ(例: xやdataではなくuserAuthenticationPayload)。略語は禁止。 |
自己文書化識別子を強制し、AIが即座にコンテキストを理解できるようにする。 |
| コメント | コードが**何をしているか(WHAT)ではなく、なぜその決定がなされたか(WHY)**を説明するコメントを記述せよ。 | 将来のエージェントセッションに対する推論のトレースを提供する。 |
| セキュリティ | シークレット/APIキーのハードコードは絶対禁止。環境変数を使用せよ。外部入力は全て検証せよ。 | 脆弱性の偶発的な導入を防ぐ**「デフォルトで安全」**なパターンを強制する。 |
| コンテキスト | **.cursorrulesにおけるglobs(ファイルパターン)**を厳密に定義し、関連性のないルール(例: PythonのルールをReactファイルに)を読み込ませる「概念の混線(Concept Bleeding)」を防げ。 | 必要な情報のみを必要なタイミングで提供するコンテキストのアンカーリングを実現する。 |
3. テクノロジー固有のモジュール(言語ごとの指示)
普遍的な原則に加え、各言語・フレームワークのイディオムとパフォーマンスプロファイルを考慮したルールを適用します。
3.1. フロントエンド: Next.js, React, TypeScript
| カテゴリ | 指示内容 | 運用性/拡張性への効果 |
|---|---|---|
| レンダリング | デフォルトで React Server Components (RSC) とせよ。'use client'ディレクティブは、useStateやuseEffectなどのフックが必要なコンポーネントにのみ厳密に使用せよ。 |
クライアントバンドルサイズを削減し、パフォーマンスを向上させる。 |
| 型安全性 | 公開APIにはtypeではなく**interfaceを使用し、拡張性を確保せよ。any型の使用は如何なるコストを払っても回避せよ。外部データ検証にはZod**を使用せよ。 |
AIの推論を強力にサポートし、実行時検証を強制する。 |
| コンポーネント | 関数コンポーネントを優先せよ。Propsの引数には、明確性を確保するため RORO(Receive Object, Return Object)パターンを採用せよ。 | 引数の順序間違いによるバグを防ぐ。 |
| スタイリング | CSS-in-JSのランタイムオーバーヘッドを回避するため、Tailwind CSSのユーティリティクラスを使用せよ。 |
3.2. バックエンド: Python (FastAPI)
| カテゴリ | 指示内容 | 運用性/保守性への効果 |
|---|---|---|
| データモデル | データ交換に生の辞書(dict)を使用してはならない。すべてのスキーマに Pydantic v2 モデルを定義せよ。 | スキーマ検証を強制し、動的言語のAI開発におけるオブジェクト構造の幻覚化を防ぐ。 |
| 型ヒント | すべての関数シグネチャ(引数および戻り値)は完全に型付けされなければならない。 | 型安全性を確保し、AIに対してターゲットとすべき明確な構造を与える。 |
| 並行処理 | I/Oバウンド操作(DB、ネットワーク)には**async def、CPUバウンドな純粋関数にはdef**を使用せよ。 |
非同期パターンの適正化とパフォーマンスの確保。 |
| 依存性の注入 | サービスの注入にはFastAPIの**Depends()またはAnnotated**を使用せよ。サービスをグローバルにインスタンス化してはならない。 |
テスト容易性の確保と疎結合の維持。 |
3.3. バックエンド: Go (Golang)
| カテゴリ | 指示内容 | 運用性/可視性への効果 |
|---|---|---|
| エラー処理 | エラーを無視してはならない。常にif err != nilで処理せよ。fmt.Errorf("%w", err)を使用して、エラーにコンテキストを含めてラップせよ。 |
デバッグ時のトレーサビリティを確保し、エラーチェーンを構築する。 |
| プロジェクトレイアウト |
標準的なGoプロジェクトレイアウトを遵守せよ:エントリポイントはcmd/、プライベートロジックはinternal/、公開ライブラリはpkg/に配置せよ。 |
モジュールの可視性を制御し、大規模開発における保守性の鍵とする。 |
| インターフェース | インターフェースを受け取り、構造体を返せ(Accept interfaces, return structs)。インターフェースは使用側(コンシューマ)で定義せよ。 | インターフェース汚染を防ぎ、柔軟な設計を促進する。 |
| 並行処理 |
停止条件(ContextのキャンセルまたはWaitGroup)が明確でないgoroutineを開始してはならない。 |
goroutineリークを防止し、安全性を確保する。 |
3.4. システム: Rust
| カテゴリ | 指示内容 | 拡張性/安全性への効果 |
|---|---|---|
| 所有権 | 所有権の移動が厳密に必要でない限り、クローン(.clone())よりも借用(&T)を優先せよ。 |
AIが安易に.clone()を使用してコンパイルエラーを回避しようとする傾向を抑制する。 |
| エラー処理 | 失敗する可能性のある操作にはすべて**Result<T, E>**を使用せよ。伝播には?演算子を使用せよ。ライブラリにはthiserror、アプリケーションにはanyhowを使用せよ。 |
エラー処理の型安全性を確保する。 |
| 安全性 |
unsafeブロックの使用を最小化し、使用する際は厳密な文書化と監査を行うこと。 |
メモリ安全性に起因する脆弱性を排除する。 |
| 解析 | コードは警告なしで**cargo clippy**を通過しなければならない。 |
3.5. エンタープライズ: Java / C#
| 言語 | カテゴリ | 指示内容 | 運用性/可観測性への効果 |
|---|---|---|---|
| Java | 可観測性 | Micrometer Observation API を中心に、メトリクス、トレーシング、ロギングを統合せよ。 | マイクロサービスアーキテクチャの運用において、高カーディナリティのタグを用いてデバッグを容易にする。 |
| Java | 非同期 | Spring WebFluxなどのリアクティブスタックを使用する場合、Micrometer Tracingとの統合を確実に行い、非同期境界を跨ぐコンテキストの伝播を保証せよ。 | デバッグの複雑さの増大を緩和する。 |
| C# | ホスティング | コンソールアプリやデスクトップアプリ(WPFなど)であっても、Microsoft.Extensions.Hostingパターン(Generic Host)を採用し、DI、構成、ロギングを一元管理せよ。 | ASP.NET Coreで培われた現代的な開発手法を他のアプリケーションタイプにも適用する。 |
4. 品質保証のための解析手順と運用(可視性・運用性)
AI生成コードの品質を担保するため、以下の解析手順とメトリクスを強制します。
4.1. 静的解析(SAST)とリンターの強制
AIエージェントは、コード生成後、以下のツールを実行し、**ゼロイシューポリシー(警告を一切許容しない運用)**を遵守しなければなりません。
| 言語/フレームワーク | 解析コマンド/ツール | 目的と効果 |
|---|---|---|
| 全言語 | コミット前にHusky/Lefthookを使用し、**循環的複雑度メトリクス(CC <= 15)**の違反コミットを拒否せよ。 | 品質を物理的に担保し、保守性の低下を早期に警告する。 |
| Python | Ruff を使用して、統合されたリンティングとフォーマットをミリ秒単位で実行せよ。 | 従来の複数のツール(Flake8, Black, isort)を置き換え、CI時間を短縮する。 |
| Go |
golangci-lint を使用し、.golangci.ymlでgovet、staticcheck、**gosec(セキュリティチェック)**を有効化せよ。 |
厳格なセキュリティチェックとコード品質維持をCIパイプラインで強制する。 |
| Kotlin/Android | Detekt(複雑度、アーキテクチャ違反)とKtlint(スタイル、フォーマット)をGradleタスクに組み込み、違反時はビルドを失敗させよ。 | コードの複雑度を早期に検出し、一貫性を保つ。 |
| セキュリティ | Trivyによる依存ライブラリの脆弱性スキャン、Gitleaksによるシークレット情報の混入チェックをCIパイプラインに組み込め。 |
4.2. テストプロトコルとフィードバックループ
| カテゴリ | 指示内容 | 運用性/保守性への効果 |
|---|---|---|
| テストファースト | 実装の前または同時にテストを記述せよ(TDDを推進)。 | バグ検出率の向上と、AIがテストロジックのコンテキストを理解する助けとなる。 |
| テストスコープ | ロジックにはユニットテスト、APIには統合テスト。外部サービスはモックせよ。 | テストの実行速度と信頼性を維持する。 |
| フィードバック | AIがミスをした際、チャットでの修正だけでなく、「どのルールが欠けていたか?」を問い、ルールブック(.cursorrulesやAGENTS.md)を更新せよ。 | ルールを生きたドキュメントとして扱い、反復的な設計(Promptware Engineering)を強制する。 |
4.3. AIレビューと高度なメトリクス
AIエージェントは、生成したコードを客観的な指標で評価する能力を自身に課します。
- AIコードレビューエージェントの活用: プルリクエスト作成時、CodeRabbitやCodiumといったAIエージェントが、シンタックス、基本的なロジックエラー、セキュリティ脆弱性を指摘する**「第一走者」**として機能することを前提とし、その指摘を尊重せよ。
-
追跡すべきメトリクス:
- 循環的複雑度(最大15)。
- 欠陥密度(コード行数あたりのバグ数)。
※↑ここまでコピー
最後に
まったく対策をしていない人にはそれなりに安心できるおまじないとして活用できるのかなと思いますが、どちらにせよ複雑な開発をしていくと自身が判断しなくてはいけないことや、AIに知恵を貸すこともありますので、出来る限り自分(とAI)が作っているものを理解するように努めて頂くとよいかと思います。
自分自身も勉強したり、色々壁打ちや試行錯誤して学んでいる最中です。(まだまだ知らないことの方が多く、反省と発見の日々です)
それでは、楽しいAIライフを^^