GitHub Copilotを使う時の注意点|Secrets・Private repository・差分確認

GitHub Copilotはコード作業を助けますが、セキュリティ確認を代わりに完了してくれるものではありません。Private repository、Secrets、差分、テスト、review、organization policyを分けて確認します。

最初に押さえる結論

Privateは公開範囲を絞る設定であり、機密情報の保管場所そのものではありません。誰が見えるか、どの連携が読むか、差分やログに何が出るかを分けて確認します。

最初に決めること

  • Copilotに見せるrepository、branch、ファイル範囲を確認します。
  • Secrets、.env、token、個人情報、社内資料を入力やコメントに含めないようにします。
  • organizationやenterpriseでCopilotのpolicy、content exclusion、利用できる機能を確認します。

AI提案をそのままmergeしない

  • 生成されたコードは、diff、test、review、CIで確認してから採用します。
  • 認証、権限、ログ出力、外部通信、ファイル操作が増えていないかを見ます。
  • 説明文やコメントに実在する秘密値、顧客名、内部URLが混ざっていないか確認します。

Private repositoryでの注意

  • Privateでも、権限を持つ人や連携先、Actions logから見える範囲を確認します。
  • Copilotの提案が安全性を保証する、という表現は避けます。
  • 外部委託や共有PCで使う時は、repository権限とアカウント権限を分けて確認します。

GitHub DesktopやCodexと一緒に使う時

  • GitHub Desktopでchanged filesとdiffを確認してからcommitします。
  • Codexに作業させた変更も、PR diffとCIで確認します。
  • main branchへの直接反映ではなく、branchとPRで確認できる流れを優先します。

関連ページ

確認した公式情報