GHgithubguide.jp

GitHub Actionsのpermissions確認

Actionsのpermissionsは、workflowが何を読めるか、何を書けるかに関わります。動かないから権限を広げるのではなく、必要な範囲と理由を確認します。

このページでわかること

  • GITHUB_TOKENとworkflow permissionsの考え方がわかる
  • read/write権限を分けて確認できる
  • third-party actionやfork PRで注意する理由がわかる

まず確認すること

  • 必要な権限だけになっているか見る
  • contents、pages、id-tokenなどの用途を確認する
  • Secretsを渡す範囲とログ出力を確認する

やってはいけないこと

  • 権限を広げることを近道にする
  • 外部actionを無条件に信頼する
  • tokenやSecretsの実値を書く

安全寄りに進める手順

  1. 対象のrepo、branch、PR、Actions runを確認する。
  2. Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
  3. 必要な場合は値を停止または再発行し、影響範囲を整理する。
  4. 変更は小さなbranchとPRに分け、CIとreviewで確認する。

CodexやAI作業時の注意

AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。

一次情報で確認する領域

Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。

関連ページ

Secrets・Actions・権限見直しの導線

チーム運用、collaborator権限、Organization、branch protection、PR review、CODEOWNERS、Issue/PR template、外注権限、退職者・終了メンバー確認を整理しました。

Actionsと外部actionのセキュリティ確認

Securityタブ、Dependabot、Secret scanning、Code scanning、Dependency review、third-party action、Codex修正時の確認を、PRとreviewに戻せる順番で整理しました。