GHgithubguide.jp

GitHubにAPIキーを上げてしまった時の初動確認

APIキーやtokenをコミットした疑いがある時は、まずその値の利用を止め、再発行と影響範囲の確認を優先します。履歴に残る可能性も前提にします。

このページでわかること

  • 値を使い続けない判断を先に置く
  • 削除コミットだけで終わらせない
  • PR差分、Actionsログ、公開範囲を確認する

まず確認すること

  • サービス側で停止・再発行の方法を確認する
  • どのリポジトリ、branch、PRに出たかを見る
  • 関係者へ共有する範囲を決める

やってはいけないこと

  • 実値をチャットやIssueへ貼り直す
  • 履歴に残る可能性を無視する
  • 原因確認前に大きな改変を重ねる

安全寄りに進める手順

  1. 対象のrepo、branch、PR、Actions runを確認する。
  2. Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
  3. 必要な場合は値を停止または再発行し、影響範囲を整理する。
  4. 変更は小さなbranchとPRに分け、CIとreviewで確認する。

CodexやAI作業時の注意

AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。

公式情報で確認する領域

Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。

関連ページ

commit前のSecrets・不要ファイル確認導線

GitHub Desktop、VS Code、clone、local repository、commit、push、pull、Sync Changes、diff、conflict、push失敗時の確認を、初心者が作業前に見られる順番で整理しました。

Secrets混入時のSTOP確認導線

戻したい、消した、間違えた、差分が大きい、branchやmergeで不安がある時に、履歴、diff、revert、STOP条件を確認できるページを整理しました。