外注先にGitHub権限を渡す時のチェック
外注先や制作会社にGitHubを見せる時は、どのrepoを、どの範囲で、どの期間だけ見せるかを決めます。Secrets、Actions、顧客情報、終了後の権限削除も確認します。
このページでわかること
- 見せるrepoと権限範囲を決める
- SecretsやActionsに触れる必要があるか確認する
- 作業終了後にアクセスを外す
まず確認すること
- public/private、read/write/adminの扱いを確認する
- 作業branchとPR確認の流れを決める
- tokenやDeploy keyの管理者を確認する
やってはいけないこと
- 機密情報を外部へ渡す前提にする
- 広い管理権限を近道として渡す
- 契約や法務判断をAIだけで決める
安全寄りに進める手順
- 対象のrepo、branch、PR、Actions runを確認する。
- Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
- 必要な場合は値を停止または再発行し、影響範囲を整理する。
- 変更は小さなbranchとPRに分け、CIとreviewで確認する。
CodexやAI作業時の注意
AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。
一次情報で確認する領域
Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。