退職者・外注終了後のGitHub権限確認
退職者や外注終了後は、repo権限だけでなく、team所属、Deploy key、personal access token、Actions Secrets、webhook、third-party appも見直します。
このページでわかること
- member、collaborator、team所属を確認する
- token、Deploy key、Secrets、webhookを見直す
- 引き継ぎと管理者権限の状態を見る
まず確認すること
- repoごとの権限を確認する
- Actionsやdeployに関わる認証情報を確認する
- 終了日後のアクセスが残っていないか見る
やってはいけないこと
- 権限削除だけで全て終わったと考える
- tokenや鍵の扱いを放置する
- 労務や契約判断をAIだけで決める
安全寄りに進める手順
- 対象のrepo、branch、PR、Actions runを確認する。
- Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
- 必要な場合は値を停止または再発行し、影響範囲を整理する。
- 変更は小さなbranchとPRに分け、CIとreviewで確認する。
CodexやAI作業時の注意
AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。
一次情報で確認する領域
Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。