GitHub リポジトリ
GitHubリポジトリの作り方
リポジトリを作る前に、何のファイルを管理する場所なのか、誰に見せるのかを決めておくと安全です。
このページで整理すること
- 作成前に決めるリポジトリ名と用途
- public/privateの選び方
- READMEや.gitignoreをどう考えるか
- Codex作業用に使う時の注意点
- 機密情報を入れないための確認
GitHubリポジトリでできること
リポジトリは、ファイルを置くだけの箱ではなく、変更履歴、branch、Pull Request、差分確認をまとめて見る場所です。Codex作業では、どのファイルが変わったか、想定外の変更がないか、公開してよい内容かを確認するために使います。
| 用語 | 一言でいうと | 何を見るか |
|---|---|---|
| repository | ファイルを管理する場所 | コード、README、履歴 |
| private | 見える人を制限できる設定 | 権限、招待、公開範囲 |
| public | 誰でも見られる公開設定 | 公開してよい内容だけか |
| branch | 作業場所を分ける仕組み | mainとの差分 |
| Pull Request | 変更を入れる前の確認場所 | 差分、説明、未確認事項 |
| Secrets | 秘密情報を本文に出さず扱う設定 | 実値を書いていないか |
初心者が間違えやすいこと
private repository は「見える人を制限できる」設定であり、APIキーやパスワードをそのまま保存してよい場所ではありません。public/privateの変更、権限変更、push、merge、削除操作は、軽いボタン操作に見えても影響が大きい作業です。
- private設定を過信する
- リポジトリ名に顧客名や秘密情報を入れる
- mainへ直接pushしてから確認する
- GitHub Desktopの差分を読まずにcommitする
- Codexの報告書だけを見てGitHub差分を確認しない
公開範囲・秘密情報の注意
| 入れない情報 | 理由 | 扱い方 |
|---|---|---|
| APIキー | 不正利用リスク | 実値を書かず、Secretsや管理画面で扱う |
| パスワード | ログイン悪用リスク | リポジトリにも指示文にも入れない |
| トークン・秘密鍵 | 認証情報 | 公開差分に出ていないか確認する |
| .env | 環境変数に秘密情報を含む可能性 | 中身を公開しない |
| 顧客情報 | 契約・個人情報リスク | 匿名化して作業する |
Codexと使う時の流れ
- 対象リポジトリと作業範囲を決める
- Codexへ対象ファイル、やること、やらないこと、停止条件を伝える
- Codexの報告書で変更ファイルと未変更ファイルを読む
- GitHubまたはGitHub Desktopで差分を見る
- 秘密情報や想定外ファイルがないか確認する
- commit、push、mergeは人間が慎重に判断する
やってはいけないこと
- private repositoryでも機密情報をそのまま保存しない
- APIキー、パスワード、トークン、秘密鍵の実値を書かない
- public/private設定変更を軽作業扱いしない
- main直pushや強制pushを安易にすすめない
- 削除操作を初心者向けの通常作業として扱わない
- GitHub公式・Codex公式のように見せない
- 事故が起きない、完全に安全、と保証しない
関連ページ
FAQ
private repositoryなら秘密情報を入れてもよいですか?
いいえ。privateでも見える人や設定、誤操作、共有範囲の問題があります。APIキーやパスワードの実値は入れないのが基本です。
Codexにリポジトリ作業を任せきってよいですか?
任せきりにはせず、対象ファイル、停止条件、差分確認、秘密情報チェックを人間が確認します。
GitHub Desktopだけ見れば十分ですか?
GitHub Desktopは差分確認に便利ですが、PR、branch、Secrets、公開範囲も必要に応じて確認します。
リポジトリ名にサイト名を入れてよいですか?
公開してよいサイト名なら使いやすいです。ただし顧客名、内部コード、秘密情報が推測できる名前は避けます。