GitHub private repositoryの公開範囲は?Privateでも見える人・見えない人を確認
結論から言うと、private repositoryはインターネット全体に公開される場所ではありません。ただし、owner、collaborator、organizationのmember、team、GitHub Apps、Actions、Codespacesなど、権限を持つ相手や連携先から見える可能性があります。
最初に押さえる結論
Privateは公開範囲を絞る設定であり、機密情報の保管場所そのものではありません。誰が見えるか、どの連携が読むか、差分やログに何が出るかを分けて確認します。
PublicとPrivateの違い
- Public repositoryはインターネット上の誰でも閲覧できる前提の置き場です。
- Private repositoryは、明示的にアクセス権を持つ人や組織内の権限を持つ人に範囲が絞られます。
- Privateでも、招待したcollaboratorやteam、organizationの設定、連携アプリの権限は別に確認します。
Private repositoryで見える可能性がある人
- 個人所有ならownerと招待したcollaboratorを確認します。
- organization所有なら、repository access、team、outside collaborator、管理者権限を確認します。
- 退職者、外部委託、共有PC、古い招待が残っていないかを定期的に見直します。
見落としやすい公開範囲
- fork、clone、download、archive、branch、release、Actions log、issue、pull requestの扱いを分けて確認します。
- GitHub Appsや外部CI、通知連携、AIツールが読める範囲を確認します。
- Privateだから何を置いてもよい、とは考えず、機密情報は専用の管理場所に分けます。
確認手順
- repositoryのSettingsでvisibilityとAccessを確認します。
- Manage accessやteam設定で、誰がどの権限を持つかを確認します。
- Actions、Apps、Codespaces、Copilotなど連携機能の設定を確認します。
- 公開前や共有前に、PR diffとActions logに不要な情報が出ていないか確認します。