GitHub Copilotを使う時の注意点|Secrets・Private repository・差分確認
GitHub Copilotはコード作業を助けますが、セキュリティ確認を代わりに完了してくれるものではありません。Private repository、Secrets、差分、テスト、review、organization policyを分けて確認します。
最初に押さえる結論
Privateは公開範囲を絞る設定であり、機密情報の保管場所そのものではありません。誰が見えるか、どの連携が読むか、差分やログに何が出るかを分けて確認します。
最初に決めること
- Copilotに見せるrepository、branch、ファイル範囲を確認します。
- Secrets、.env、token、個人情報、社内資料を入力やコメントに含めないようにします。
- organizationやenterpriseでCopilotのpolicy、content exclusion、利用できる機能を確認します。
AI提案をそのままmergeしない
- 生成されたコードは、diff、test、review、CIで確認してから採用します。
- 認証、権限、ログ出力、外部通信、ファイル操作が増えていないかを見ます。
- 説明文やコメントに実在する秘密値、顧客名、内部URLが混ざっていないか確認します。
Private repositoryでの注意
- Privateでも、権限を持つ人や連携先、Actions logから見える範囲を確認します。
- Copilotの提案が安全性を保証する、という表現は避けます。
- 外部委託や共有PCで使う時は、repository権限とアカウント権限を分けて確認します。
GitHub DesktopやCodexと一緒に使う時
- GitHub Desktopでchanged filesとdiffを確認してからcommitします。
- Codexに作業させた変更も、PR diffとCIで確認します。
- main branchへの直接反映ではなく、branchとPRで確認できる流れを優先します。