GHgithubguide.jp

GitHub ActionsでSecretsをログに出さない確認ポイント

GitHub Actionsでは、Secretsを設定していてもworkflowの書き方やログ出力によって注意が必要です。出力、権限、外部actionの確認を先に行います。

このページでわかること

  • echoやdebug出力に機密値を含めない
  • GITHUB_TOKENやSecretsの権限を必要最小限にする
  • fork PRやthird-party actionの扱いを確認する

まず確認すること

  • 失敗ログに値そのものが出ていないか見る
  • 環境変数を丸ごと表示していないか確認する
  • 外部actionの用途と権限を見直す

やってはいけないこと

  • 値の見えるログを残す
  • 原因不明のまま権限を広げる
  • CIを止めて問題を見えなくする

安全寄りに進める手順

  1. 対象のrepo、branch、PR、Actions runを確認する。
  2. Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
  3. 必要な場合は値を停止または再発行し、影響範囲を整理する。
  4. 変更は小さなbranchとPRに分け、CIとreviewで確認する。

CodexやAI作業時の注意

AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。

一次情報で確認する領域

Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。

関連ページ

ActionsのSecrets・permissions確認導線

GitHub Actionsのworkflow、trigger、CI/CD、Pagesビルド、schedule、permissions、artifacts、deploy、トラブル確認を、ログとSecretsを守る実務導線として整理しました。

Actionsと外部actionのセキュリティ確認

Securityタブ、Dependabot、Secret scanning、Code scanning、Dependency review、third-party action、Codex修正時の確認を、PRとreviewに戻せる順番で整理しました。