認証トークンやAPIキーの比較では == ではなく subtle.ConstantTimeCompare / hmac.Equal を使うのが原則(タイミング攻撃対策)。ただし比較対象が秘密鍵付きHMACでハッシュ化された値同士の場合、攻撃者は鍵を知らずハッシュを事前計算できないため、タイミングリークがあっても元の値の逆算には繋がらず実用上の悪用は困難。ベストプラクティスとして定数時間比較に統一しつつ、深刻度は『生の秘密値の直接比較』(高)と『HMAC済み値同士の比較』(低)を区別して評価する。