GitHub private / public / security
GitHub private repositoryとは?公開範囲と機密情報の注意点
GitHub private repositoryはpublic repositoryより公開範囲を絞れますが、機密情報を直接置いてよい場所という意味ではありません。公開範囲、権限、Secrets、CodexやCopilotに渡す情報を分けて確認します。
GitHub private repositoryとは
GitHubのprivate repositoryは、public repositoryより公開範囲を絞ったリポジトリです。ただし「自分しか見られない場所」と決めつけないでください。招待したメンバー、Organization管理者、権限を持つ人など、設定や契約状態によって見られる人がいます。
会社やチームで使う場合は、Organization、Team、外部コラボレーター、Actions、Pages、Codespaces、Secrets、fork、cloneなどの設定も確認します。
public repositoryとの違い
| 比較軸 | Public repository | Private repository |
|---|---|---|
| 誰が見られるか | 誰でも見られる可能性があります。 | 公開範囲は絞れますが、権限を持つ人は見られます。 |
| 検索エンジン | 検索対象になる可能性があります。 | 通常は公開ページより限定されますが、設定や連携先を確認します。 |
| 共同編集 | 公開前提でレビューと権限を管理します。 | 招待メンバーやOrganizationの権限管理が重要です。 |
| Organization | 公開ルール、Pages、Actions、forkの影響を確認します。 | 管理者、Team、Enterprise設定の影響を受ける場合があります。 |
| 機密情報 | 秘密情報は置きません。 | privateでも秘密情報を直接置いてよいわけではありません。 |
| 初心者の注意点 | READMEや履歴に公開してはいけない情報を書かない。 | 見える人とログ、履歴、AI作業への共有範囲を確認する。 |
GitHub privateの公開範囲はどこまでか
privateでも、招待メンバーはリポジトリを見られます。OrganizationやEnterpriseでは、管理者、Team、外部コラボレーター、権限設定の影響を受ける場合があります。
外部連携、GitHub Actions、Pages、Codespaces、Secrets、fork、clone、public/privateの変更は、それぞれ設定確認が必要です。公開範囲はGitHubの仕様変更や契約状態で変わる可能性があるため、固定の説明だけで判断しないでください。
private repositoryで機密情報をどう扱うか
privateでも機密情報を直接保存しない運用が安全です。APIキー、token、.env、SSH秘密鍵、DBパスワード、FTP情報、OAuth client secretは、通常のファイルとしてコミットしないでください。
GitHub SecretsやActions secretsを使う場合も、公式ヘルプで対象範囲を確認します。Secretsを使っても、ログ出力、コードへの埋め込み、権限設定、不要になった値の削除には注意が必要です。
漏れた可能性がある場合は、ファイルから削除するだけでなく、キーの無効化や再発行、履歴、Actionsログ、過去のpublic公開履歴も確認します。
CodexやCopilotに秘密情報を貼らない
CodexやGitHub Copilotを使う時も、APIキー、token、.env、SSH秘密鍵、DB情報を貼らないようにします。公開リポジトリだけでなくprivate repositoryでも同じです。
- AIにコードを見せる前に、秘密情報が含まれていないか確認する
- .gitignore、Secrets、環境変数の扱いを確認する
- AI作業後は差分、PR、Actionsログを確認する
- privateだから安全と決めつけず、見える人とログを確認する
公開範囲を変える前のチェックリスト
- public/privateの違いを理解したか
- 招待メンバーやOrganization権限を確認したか
- APIキーやtokenを入れていないか
- .envをコミットしていないか
- SSH秘密鍵やDB情報を入れていないか
- GitHub Actionsのログに秘密情報が出ていないか
- 過去履歴に秘密情報が残っていないか
- CodexやCopilotに秘密情報を貼っていないか
- publicへ変更する前に全ファイルを確認したか
- 漏れた可能性があるキーを再発行したか
よくある質問
GitHub private repositoryは誰に見えますか?
publicより公開範囲は絞られますが、招待メンバーや権限を持つ人は見られる場合があります。OrganizationやEnterpriseでは管理者や権限設定も確認してください。
private repositoryならAPIキーを保存してもいいですか?
直接保存しない運用が安全です。APIキー、token、.env、SSH秘密鍵、DB情報などは、privateでもコミットしない前提で確認します。
public repositoryとの違いは何ですか?
publicは誰でも見られる可能性があり、privateは公開範囲を絞れます。ただし、privateでも権限を持つ人は見られるため、機密情報を置く場所とは分けて考えます。
GitHub Secretsを使えば安全ですか?
Secretsは便利ですが、使えばすべて安全という意味ではありません。ログ出力、コードへの埋め込み、権限設定に注意します。
うっかりAPIキーを入れたらどうすればいいですか?
ファイルから削除するだけでは不十分な場合があります。漏れた可能性があるキーは無効化や再発行を行い、履歴やログも確認します。
CodexやCopilotにprivate repositoryを見せても大丈夫ですか?
作業前に秘密情報や顧客情報が入っていないか確認してください。AI作業後も差分とログを確認する必要があります。
関連ページ
GitHub private repositoryとは
GitHubのprivate repositoryは、public repositoryより公開範囲を絞ったリポジトリです。ただし「自分しか絶対に見られない場所」という意味ではありません。招待したメンバー、Organization管理者、権限を持つ人など、設定によって見られる人がいます。
private repositoryはpublicより公開範囲を絞れますが、機密情報の直接保管に使う場所という意味ではありません。
public repositoryとの違い
| 比較対象 | 誰が見られるか | 検索エンジン | 機密情報 | 初心者の注意点 |
|---|---|---|---|---|
| Public repository | 誰でも見られる可能性があります。 | 検索対象になる可能性があります。 | 秘密情報は置きません。 | 公開前チェックが重要です。 |
| Private repository | 公開範囲は絞れますが、権限を持つ人は見られます。 | 通常はpublicより限定されますが、仕様や設定は確認が必要です。 | 秘密情報を直接置いてよいわけではありません。 | Organization管理、外部連携、履歴を確認します。 |
GitHub privateの公開範囲はどこまでか
privateでも、招待メンバーは見られます。OrganizationやEnterpriseでは管理者・権限設定の影響を受けます。外部連携、Actions、Pages、Codespaces、Secrets、fork、cloneなどは設定確認が必要です。
public/private変更前には、現在の公開範囲、権限を持つ人、Actionsログ、Pages、外部連携、過去履歴を確認します。公開範囲はGitHubの仕様変更や契約状態で変わる可能性があるため断定しません。
private repositoryに機密情報を保存してよいのか
privateでも機密情報を直接保存しない方がよいです。APIキー、token、.env、SSH秘密鍵、DBパスワード、FTP情報、OAuth client secretはコミットしない運用にします。
GitHub SecretsやActions secretsを使う場合も、公式ヘルプで対象範囲を確認します。Secretsを使っても、ログ出力やコードへの埋め込みには注意が必要です。漏れた可能性がある場合は、削除だけでなくキーの無効化・再発行を検討します。
CodexやCopilotに秘密情報を貼らない
CodexやGitHub Copilotを使う時も、APIキー、token、.envを貼らないようにします。AIにコードを見せる前に、秘密情報が含まれていないか確認します。公開リポジトリだけでなくprivate repositoryでも同じです。
CodexやAI開発補助ツールにGitHub作業を任せる場合は、Codex・GitHub Copilot・Gemini・Figmaなどの使い分けも確認しておくと安全です。
GitHub Desktopとprivate repository
GitHub DesktopはGitHub作業をGUIで扱うための入口です。clone、commit、push、pull、差分確認の理解に役立ち、Codexが変更したファイルを人間が確認する補助にもなります。ただし、GitHub Desktopだけで安全確認が完了するわけではありません。
公開範囲を変える前のチェックリスト
- public/privateの違いを理解したか
- 招待メンバーやOrganization権限を確認したか
- APIキーやtokenを入れていないか
- .envをコミットしていないか
- SSH秘密鍵やDB情報を入れていないか
- GitHub Actionsのログに秘密情報が出ていないか
- 過去履歴に秘密情報が残っていないか
- CodexやCopilotに秘密情報を貼っていないか
- publicへ変更する前に全ファイルを確認したか
- 漏れた可能性があるキーを再発行したか
FAQ
GitHub private repositoryは誰に見えますか?
publicより公開範囲は絞られますが、招待メンバーや権限を持つ人は見られる場合があります。OrganizationやEnterpriseでは管理者や権限設定も確認してください。
private repositoryならAPIキーを保存してもいいですか?
直接保存しない方が安全です。APIキー、token、.env、SSH秘密鍵、DB情報などは、privateでもコミットしない運用が基本です。
public repositoryとの違いは何ですか?
publicは誰でも見られる可能性があり、privateは公開範囲を絞れます。ただし、privateでも権限を持つ人は見られるため、機密情報の直接保管先として扱わない方が安全です。
GitHub Secretsを使えば安全ですか?
Secretsは便利ですが、使えばすべて安全というわけではありません。ログ出力、コードへの埋め込み、権限設定に注意が必要です。
うっかりAPIキーを入れたらどうすればいいですか?
ファイルから削除するだけでは不十分な場合があります。漏れた可能性があるキーは無効化・再発行し、履歴やログも確認してください。
CodexやCopilotにprivate repositoryを見せても大丈夫ですか?
作業前に、秘密情報や顧客情報が入っていないか確認してください。AI作業後も差分とログを確認する必要があります。
GitHub Desktopはprivate repositoryでも使えますか?
権限があるリポジトリであれば、GitHub Desktopからcloneやcommitなどの作業に使えます。ただし、commit前に秘密情報が入っていないか確認してください。
関連ページ
このページでわかること
- GitHub private repositoryとは何か
- public repositoryとの公開範囲の違い
- privateにすると誰に見える可能性があるのか
- private repositoryにAPIキー、token、.envなどを置かない方がよい理由
- 誤って機密情報をpushした時に考えること
- GitHub Apps、Actions、Copilot、Codexを使う時の注意点
GitHub private repositoryは非公開だが、機密情報の保存場所ではない
GitHub private repositoryは、許可された人だけが見られる非公開リポジトリです。public repositoryのように誰でも見られる状態ではありません。
ただし、privateだから完全に安全という意味ではありません。共同編集者、Organizationの管理者、Team権限を持つメンバー、連携したGitHub Apps、GitHub Actionsの実行環境、cloneした端末など、設定や運用によって見える範囲は変わります。
そのため、APIキー、access token、.env、SSH秘密鍵、DB接続情報、パスワード、顧客情報、社外秘資料は、private repositoryであっても通常のファイルとして置かない方が安全です。
public repositoryとprivate repositoryの違い
| 確認項目 | public repository | private repository |
|---|---|---|
| 見える人 | インターネット上の利用者から見える可能性があります。 | 許可された人、権限を持つ人、組織内の管理者などに絞られます。 |
| 検索エンジン | 検索結果や外部リンクから見つかる可能性があります。 | 通常はpublicより見つかりにくくなりますが、権限や連携先の確認は必要です。 |
| 共同編集 | 公開前提でレビュー、Issue、PR、READMEを整えます。 | 招待メンバー、Team、Organizationの権限管理が重要です。 |
| GitHub Apps / Actions | 公開範囲と連携権限を確認します。 | privateでもアプリやActionsに権限を渡す場合があります。 |
| 機密情報 | 絶対に置かない前提で確認します。 | privateでも通常ファイルには置かず、Secretsや環境変数など別管理にします。 |
| 向いている用途 | OSS、公開サンプル、公開ドキュメントなど。 | 未公開コード、社内作業、検証中の個人プロジェクトなど。 |
private repositoryは誰に見えるのか
private repositoryは、自分だけが見える場所とは限りません。少なくとも、次のような人や仕組みが関係する可能性があります。
private repositoryに置かない方がよいもの
- APIキー
- access token / GitHub token
- OpenAI API key や Google API key
- .env ファイル
- SSH秘密鍵
- DB接続情報
- パスワード
- 認証コード
- Cookie / session情報
- 顧客情報
- 個人情報
- 社外秘資料
- 契約書や請求情報
- 本番サーバーの設定情報
private repositoryでも、README、コメント、ログ、スクリーンショット、テストデータに機密情報が混ざることがあります。コードだけでなく、周辺ファイルも確認します。
誤ってAPIキーや.envをpushした時に考えること
- まず該当キーやtokenを使わない
- サービス側でキーを無効化または再発行する
- リポジトリから該当ファイルや値を削除する
- Git履歴、Actionsログ、PR差分に残っていないか確認する
- 必要なら履歴からの削除や再発防止を検討する
- .gitignore、Secrets管理、環境変数の扱いを見直す
- チームや管理者に共有し、影響範囲を確認する
ファイルから消しただけで漏洩対応が終わるとは限りません。すでに外部へ見えた可能性がある値は、無効化や再発行を優先して考えます。
GitHub Apps / Actions / Copilot / Codexを使う時の注意
private repositoryであっても、外部アプリ、GitHub Actions、GitHub Copilot、Codexのような開発補助ツールを使う場合は、どこまでコードやログを扱うのかを確認します。
- GitHub Appsに渡した権限を確認する
- Actionsのログに秘密情報が出ないようにする
- CopilotやCodexに読ませる範囲を確認する
- AIの提案をそのまま本番反映せず、人間が差分を見る
- PR、commit、workflow、ログに機密情報が混ざっていないか確認する
初心者がやりがちな思い込み
| 思い込み | 実際に確認したいこと |
|---|---|
| privateだから何を入れてもよい | 権限を持つ人や連携アプリが見られるため、機密情報は分けて管理します。 |
| あとで消せば大丈夫 | 履歴やログに残る場合があります。漏れた可能性があるキーは無効化・再発行を検討します。 |
| 一人用のprivate repoなら安全 | cloneした端末、バックアップ、AIツール、スクリーンショットにも注意します。 |
| CopilotやCodexなら問題ない | AIに渡す前のファイル確認、作業後の差分確認、人間レビューが必要です。 |
公開範囲を変える前のチェックリスト
- public/privateの現在状態を確認したか
- 招待メンバーとTeam権限を確認したか
- GitHub Appsの権限を確認したか
- Actionsログに値が出ていないか確認したか
- APIキー、token、.envが入っていないか確認したか
- 過去履歴に秘密情報が残っていないか確認したか
- READMEや画像に個人情報がないか確認したか
- AIに読ませる範囲を確認したか
- 公開変更後の影響をチームで確認したか
FAQ追加
- GitHub private repositoryは検索に出ますか?
- public repositoryのように誰でも内容を見られる状態ではありません。ただし、権限を持つ人、組織設定、連携アプリ、過去の公開状態などは別に確認します。
- private repositoryなら会社のコードを置いてもいいですか?
- 会社や組織のルール次第です。privateであっても、権限管理、契約、外部アプリ連携、退職者の権限削除、Secrets管理を確認してください。
- .envをpushしないためには何を確認しますか?
- .gitignore、commit前の差分、GitHub DesktopやCLIの変更一覧、AIが編集したファイルを確認します。値そのものは通常のファイルに置かない運用が安全です。
- GitHub ActionsでSecretsを使えばログには出ませんか?
- Secretsは便利ですが、使い方によってはログやコマンド出力に値が出る可能性があります。workflowとログを確認し、値を表示する処理を書かないようにします。
- CodexやCopilotにprivate repoを見せる前に何を見るべきですか?
- APIキー、token、.env、顧客情報、社外秘資料が含まれていないか確認します。作業後も差分、PR、ログ、Actionsを人間が確認します。
関連ページ
- GitHubリポジトリの公開範囲を確認する
- GitHub利用時の安全チェック
- GitHub初心者向けガイド
- GitHubリポジトリとは
- GitHub Actionsの基本
- GitHub Copilotを使う時の注意点
- GitHub Desktopの基本
- Codex作業時のSecrets管理
- AIが変更したコードのSecrets確認
- GitHub Secretsと機密情報の注意
公式情報で確認する時の入口
公開範囲、権限、Secrets、Actions、プランやOrganization設定は変わる可能性があります。このページでは固定仕様として断定せず、必要な場面ではGitHub Docsも確認してください。
公式情報で確認すること
公開範囲、権限、Secrets、GitHub Desktop、Copilot関連の仕様や制限は変わる可能性があります。2026年6月11日確認の公開情報を確認し、このページでは固定仕様として断定しません。
private repositoryは非公開でも、機密情報の保管場所ではない
GitHub private repositoryは、許可された人だけが見られる非公開リポジトリです。ただし、完全な金庫として扱うものではありません。共同編集者、Organizationの権限を持つメンバー、管理者、連携したGitHub Apps、GitHub Actionsの実行環境、CI/CDサービス、cloneした端末など、設定や運用によって見える範囲は変わります。
private repositoryは「誰でも見られる公開リポジトリではない」という意味では便利ですが、「機密情報を置いてよい場所」ではありません。
public repositoryとprivate repositoryの違い
| 確認項目 | public repository | private repository |
|---|---|---|
| 見える人 | 原則として広く見られる可能性があります。 | 許可された人や連携先に範囲が絞られます。 |
| 検索への出方 | 検索や外部参照の対象になりやすいです。 | publicのような見え方ではありませんが、権限と連携先を確認します。 |
| 共同編集 | 公開前提で差分や履歴を確認します。 | 招待した共同編集者、Team、Organizationの権限を確認します。 |
| GitHub Apps / Actions | 連携範囲とログを確認します。 | privateでも連携ツールに権限を渡す場合があります。 |
| 機密情報 | 置きません。 | privateでも通常ファイルとして置かない方が安全です。 |
private repositoryに置かない方がよいもの
- APIキー、access token、GitHub token
- OpenAI API key、Google API keyなどの外部サービス認証情報
- .env、SSH秘密鍵、DB接続情報
- パスワード、認証コード、Cookie、session情報
- 顧客情報、個人情報、社外秘資料、契約書、請求情報
- 本番サーバーの接続情報や管理画面情報
誤ってpushした時に先にやること
- 該当キーやtokenを使わない。
- サービス側で該当キーを無効化する。
- 新しいキーを再発行する。
- コードや設定ファイルから削除する。
- 履歴、ログ、Actions出力、共有先を確認する。
- 必要なら履歴からの削除方法を検討する。
- チームに共有し、再発防止として.gitignoreやSecrets管理を見直す。
Codex / GitHub Copilot / Actionsを使う時の注意
GitHub CopilotやCodexを使う時も、private repositoryだから安全と決めつけず、AIに読ませる範囲、差分、ログ、PR、Actions出力を確認します。GitHub ActionsでSecretsを使う場合も、ログに値が出ないようにし、不要な権限を渡さないようにします。
private repositoryのよくある質問
- GitHub private repositoryとは何ですか?
- 許可された人だけが見られる非公開リポジトリです。ただし、共同編集者、Organization、連携アプリ、Actionsなどの権限確認が必要です。
- private repositoryは検索に出ますか?
- public repositoryのように誰でも内容を見られる状態ではありません。ただし、権限を持つ人や連携サービスの扱いには注意します。
- privateならAPIキーを置いてもよいですか?
- 置かない方が安全です。APIキー、token、.env、SSH鍵、DB情報などはSecrets管理や環境変数で扱う前提にします。
- public repositoryとprivate repositoryの違いは何ですか?
- publicは広く見られる可能性があり、privateは権限のある人に範囲が絞られます。ただし、privateでも機密情報を通常ファイルに入れる用途には向きません。
- private repositoryは自分だけしか見られませんか?
- 必ずそうとは限りません。共同編集者、Organizationの権限、GitHub Apps、Actions、cloneした端末などを確認します。
- .envをpushしたら削除すれば十分ですか?
- 削除だけでは不十分な場合があります。キーの無効化、再発行、履歴やログの確認を検討します。
- GitHub CopilotやCodexでprivate repositoryを扱う時の注意は?
- 機密情報や顧客情報を含むファイルを不用意に扱わず、差分、ログ、PR、人間レビューを残すことが大切です。
- 会社のコード置き場として使えますか?
- 使える場合はありますが、権限管理、Secrets管理、Actions、退職者の権限削除、外部連携の確認が必要です。