GitHub Code scanningとは?コード上の問題を確認する時の基本
Code scanningはコード上の問題をalertとして確認するための仕組みです。alertの内容を読んだうえで、修正差分とテストを確認します。
このページでわかること
- Code scanning alertsの受け取り方がわかる
- 対象ファイルや重要度を見る理由がわかる
- AI修正をそのまま採用しない確認軸がわかる
まず確認すること
- alertの対象ファイル、行、説明を見る
- 重要度と本番影響を分けて考える
- 誤検知の可能性も含めてreviewする
- 修正PRの差分とCIを見る
やってはいけないこと
- alertを攻撃手順として扱わない
- AIの修正をそのまま本番へ入れない
- 修正できたと断定せず検証する
安全寄りに進める手順
- 対象のrepo、branch、PR、Actions runを確認する。
- Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
- 必要な場合は値を停止または再発行し、影響範囲を整理する。
- 変更は小さなbranchとPRに分け、CIとreviewで確認する。
CodexやAI作業時の注意
AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。
一次情報で確認する領域
Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。