GitHub Dependency reviewとは?依存関係の追加・更新をPRで確認する基本
dependency reviewは、PRで依存関係が増えたり変わったりした時の確認に役立ちます。Codexが追加したpackageも人間が見直します。
このページでわかること
- PRで依存関係の追加・更新を見る意味がわかる
- licenseや脆弱性情報を確認する入口がわかる
- Codexが入れたdependencyを丸呑みしない流れがわかる
まず確認すること
- 新しく増えたpackageを確認する
- lock fileの変更を見る
- licenseや既知の脆弱性情報を確認する
- 不要なdependencyが入っていないか見る
やってはいけないこと
- 依存関係追加を無条件に許可しない
- license判断をこのページだけで完結しない
- CIが通っただけで十分と決めない
安全寄りに進める手順
- 対象のrepo、branch、PR、Actions runを確認する。
- Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
- 必要な場合は値を停止または再発行し、影響範囲を整理する。
- 変更は小さなbranchとPRに分け、CIとreviewで確認する。
CodexやAI作業時の注意
AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。
一次情報で確認する領域
Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。