CodexにGitHubのセキュリティ修正を頼む時の確認|差分・CI・依存関係・Secrets
CodexやAIに修正を頼む時ほど、対象範囲、触らないファイル、Secretsを渡さない条件、確認項目を明確にします。修正結果はPRで確認します。
このページでわかること
- AI修正に渡す範囲を限定できる
- Secretsやalert詳細の扱いを整理できる
- 差分、CI、reviewで採用可否を判断できる
まず確認すること
- 何のalertかを確認する
- 対象ファイルと触らないファイルを決める
- Secretsや実値を渡さない
- 依存関係更新、CI、本番影響、review担当を確認する
やってはいけないこと
- セキュリティ修正をAI任せにしない
- alert内容を必要以上に外部へ貼らない
- 差分が大きすぎるままmergeしない
安全寄りに進める手順
- 対象のrepo、branch、PR、Actions runを確認する。
- Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
- 必要な場合は値を停止または再発行し、影響範囲を整理する。
- 変更は小さなbranchとPRに分け、CIとreviewで確認する。
CodexやAI作業時の注意
AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。
一次情報で確認する領域
Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。