GitHub基本・用語
mainブランチとは何か
mainブランチの役割、本番に近い扱い、初心者が直接触る時の注意、Codex作業との関係を整理します。
このページでわかること
- mainブランチとは何かで最初に確認すること
- 初心者がつまずきやすいポイント
- CodexやChatGPTと組み合わせる時の注意
- 秘密情報をGitHubへ入れないための考え方
最初に結論
mainブランチはプロジェクトの中心として扱われることが多いブランチです。変更前に影響範囲を確認します。
初心者向け説明
mainは公開や本番反映に近い扱いになることがあります。Codex作業では作業ブランチを使い、PRで確認する流れが安全です。
向いている使い方
- 作業前に全体像を確認したい
- GitHub DesktopやCodex作業の判断材料にしたい
- 公開前の安全確認を習慣にしたい
注意が必要な使い方
- 秘密情報をGitHubへ入れない
- わからないまま削除や上書きをしない
- 本番反映前に差分と公開URLを確認する
CodexやChatGPTと組み合わせる場合
CodexやChatGPTと組み合わせる場合は、目的、対象ファイル、触らないファイル、停止条件、確認URLを先に分けて書くと、作業後の差分確認がしやすくなります。
秘密情報・APIキー・パスワード・個人情報の注意
APIキー、パスワード、秘密鍵、FTP資格情報、DB情報、メール設定、個人情報は、HTML、README、ログ、報告書、GitHubの差分に出さない前提で扱います。
関連ページ
FAQ
mainブランチとは何かは初心者でも読めますか?
はい。操作名を暗記するより、どの順番で確認すればよいかを優先して整理しています。
CodexやChatGPTを使う場合も確認は必要ですか?
必要です。自動化できる部分が増えても、差分、秘密情報、公開URLの確認は人間側で見る前提にします。
秘密情報が混ざったかもしれない時はどうしますか?
commit、push、mergeを急がず、公開範囲と履歴への混入有無を確認します。必要に応じてキーやパスワードを無効化します。
GitHubの仕様が変わることはありますか?
あります。重要な判断や最新仕様が必要な場面では、GitHub側の情報も確認してください。
GitHub Secrets・Actions・PRレビュー・AIコードレビューの確認
mainブランチへ直接pushせず、branch、PR、レビュー、Secrets確認を挟む流れを補強します。
GitHubでは、Secrets、Actions、branch、Pull Request、AIコードレビューを分けて確認します。private repoやAIの生成コードだけで安全とは判断せず、公開前に人間がdiff、ログ、設定、データを確認します。
確認する項目
| 項目 | 役割 | 注意点 |
|---|---|---|
| GitHub Secrets | APIキー、token、環境変数をActionsで使う時の保管先 | 値をコードやログに出さない |
| GitHub Actions | テスト、ビルド、デプロイの自動化 | 料金、無料枠、billing、実行時間、Secrets、ログを確認する |
| Actions env | ワークフロー内で使う環境変数 | 公開してよい設定と隠す値を分ける |
| deploy | FTP deployやSSH deployなどの反映作業 | 認証情報をログやYAML本文に出さない |
| Pull Request | branchの差分をmainへ入れる前の確認場所 | diff、レビュー、CI、Secrets混入を確認する |
| AIコードレビュー | CopilotやAIの指摘をレビュー補助に使う | 最終判断は人間が行う |
| 業務データ | CSV、スプレッドシート、顧客情報の扱い | private repoでも安全と断定しない |
公開前チェックリスト
- □ APIキー、token、.env、SSH鍵、DB情報が入っていないか確認した
- □ GitHub Secretsへ入れる値と、リポジトリに置く設定を分けた
- □ GitHub Actionsの料金、無料枠、billing画面を確認した
- □ GitHub ActionsのログにSecretsを出していない
- □ deploy、FTP deploy、SSH deployで使う認証情報をコードに置いていない
- □ branchで作業し、mainへ直接pushしていない
- □ PRのdiffを人間が確認した
- □ AIコードレビューの指摘をそのまま採用していない
- □ CSVやスプレッドシートに個人情報や業務データが入っていないか確認した
- □ 漏洩が疑われる場合はキーを無効化、再発行、履歴確認、影響範囲確認を行う
関連サイト導線
関連サイトはリンク先200を確認したものだけを掲載します。
main反映前に止まって見る項目
mainは本番反映や公開に近い扱いになることがあります。AIコードレビュー、Actions、Secrets、料金、deploy設定を見ずに直接反映しないことが重要です。
- PRを通してmainへ入れる
- Actionsのログと実行対象を確認する
- deploy先や公開範囲を確認する
- Secretsや業務データの混入を確認する