AIが変更したコードのSecrets確認|APIキー・token・.envをGitHubに入れない
AIが作ったコードや設定ファイルには、作業中の説明文、サンプル値、ローカルパス、認証情報らしい文字列が混ざることがあります。このページでは、GitHubへ入れる前にSecretsを確認する流れを整理します。
確認するSecrets候補
Secrets確認では、値そのものだけでなく、値を連想させるキー名、ローカルパス、環境変数名、接続先情報も見ます。
AIにエラー解消やdeployを任せた後ほど、ログや一時ファイル、設定メモが混ざっていないかを確認します。
- APIキー
- token
- .env
- FTP情報
- DB情報
- SSH鍵
- ローカルパス
- 顧客情報や会社情報
PRで見る場所
PRでは、追加されたファイル、変更された設定ファイル、削除されていない一時ファイル、コメント中の値を確認します。
Webサイト運用では、HTML本文に認証情報やローカルパスが混ざっていないかも確認対象です。公開後のHTMLにも同じ文字列が出ていないか見ます。
- Files changedを開く
- 設定ファイルの変更を確認する
- ログやメモを含めない
- HTMLにローカルパスを出さない
- 公開URLを確認する
見つけた時の止め方
Secretsらしい文字列が見つかった場合は、作業を進めず、値の扱い、削除、履歴対応、認証情報の更新が必要かを人間が判断します。
安全性を断定せず、公開前に止まれる状態を作ることが大切です。
- mergeしない
- 公開しない
- 値を報告文に書かない
- 必要なら認証情報を更新する
- 履歴に残った範囲を確認する
関連ページ
GitHub側の確認ページから、Copilot側、Codex側、Sheets側の注意点へ移動できます。
CopilotとCodexの違いPR確認、実装補助、Secrets注意で役割を分けます。業務データ注意表データ、CSV、顧客情報をAIやGitHubで扱う前に見ます。AI作業後のSecrets確認APIキー、token、.env、FTP、DB情報の混入を見ます。Copilot作業後のPR確認diff、Secrets、sitemap、merge前確認を整理します。Codex作業のGitHub管理branch、PR、review、公開前確認へつなげます。copilotguide.jpの比較Copilot側の入口として確認します。codexguide.jpの安全利用Codex側の注意点へつなげます。geminiguide.netのSheets注意表データ連携の確認先です。
比較表
| 見るもの | 確認する理由 |
|---|---|
| PRの差分 | AIが変更した範囲を人間が確認するため。 |
| Secrets候補 | APIキー、token、.env、接続情報を公開しないため。 |
| 業務データ | 顧客情報、売上、社内情報を混ぜないため。 |
| 公開URL | 作ったページやリンクが200で開けるか確認するため。 |
FAQ
AIが作ったコードならSecrets確認は必要ですか?
必要です。AIが作ったかどうかに関係なく、GitHubへ入れる前に差分を確認します。
Secretsらしい文字列を見つけたらどうしますか?
値を広げず、mergeや公開を止め、削除や更新が必要かを人間が確認します。
HTMLにもSecretsは混ざりますか?
混ざることがあります。本文、コメント、スクリプト、ローカルパスを公開前後に確認します。