コードベースのシークレット混入を指摘する際は、ファイルが実際にgit管理下にあるかを git ls-files / git log --all -- <file> と .gitignore で必ず確認してから深刻度を決める。.envrc等に実キーが平文で書かれていても、.gitignore登録済みでコミット履歴にも無ければ『ソースコードへの秘密混入(CWE-798)』には該当せず、深刻度は過大評価になる。セキュリティ自動スキャンやサブエージェントの報告は深刻度を過大に出しがちなので、レポート前に到達経路・スコープ・追跡状況といった前提を一次情報で裏取りし、誤検知を補正する。