Secret information
GitHubプライベートリポジトリに機密情報を保存していい?
private repositoryでも、APIキーやパスワードをそのまま保存するのは避けるのが基本です。
このサイトはGitHub公式サイトではありません。GitHub公式サポートの代替ではなく、初心者が公開範囲、秘密情報、Codex連携を安全に確認するための非公式ガイドです。重要な仕様や料金、権限は公式情報も確認してください。
まず一言でいうと
private repositoryでも、APIキーやパスワードをそのまま保存するのは避けるのが基本です。
private repository は公開範囲を制限できますが、誤操作、権限変更、共有、履歴への残存がありえます。機密情報は、リポジトリ本文やREADME、ログ、.env、差分に入れない前提で考えます。
このページで整理すること
- GitHubでできることと、GitHubだけに任せないこと
- private / public、公開範囲、権限の見方
- APIキー、パスワード、トークン、顧客情報を入れない考え方
- CodexやGitHub Desktopと組み合わせる時の安全チェック
GitHubでできること
- 機密情報を伏せて設定項目だけ説明する
- Secretsや環境変数の実値を本文に出さない
- 差分で混入がないか確認する
- 必要なら作業を止めて人間が判断する
GitHubだけに任せないこと
- APIキー、パスワード、トークン、秘密鍵を入れない
- .envやDBダンプを保存しない
- 顧客情報や社内資料を置かない
- Secretsの実値を例示しない
private / public 比較表
| 項目 | private repository | public repository |
|---|---|---|
| 見える範囲 | 権限のある人だけ | 誰でも見られる |
| 検索 | 外部公開されにくい | 検索される可能性あり |
| 機密情報 | それでも入れない | 絶対に入れない |
| Codex作業 | 作業用に使いやすい | 公開前提なら慎重に |
| 注意点 | 権限管理が必要 | 公開範囲に注意 |
private repositoryに入れない情報表
| 入れない情報 | 理由 |
|---|---|
| APIキー | 不正利用リスク |
| パスワード | ログイン悪用リスク |
| トークン | 認証情報 |
| 秘密鍵 | サーバー侵入リスク |
| 顧客情報 | 個人情報・契約リスク |
| .env | 環境変数に秘密情報がある可能性 |
| DBダンプ | 個人情報や内部情報を含む可能性 |
Codex × GitHub Desktop 確認フロー
- Codexで修正する範囲と触らないファイルを決める
- GitHub Desktopで変更ファイルを見る
- 差分を確認する
- 秘密情報がないか見る
- 必要ならcommitする
- pushやmergeは慎重に判断する
やってはいけないこと
- private repositoryなら何でも安全と考える
- APIキー、パスワード、トークン、秘密鍵、GitHub Secretsの実値を入れる
- 顧客情報、会社情報、個人情報の実例をリポジトリに残す
- public/private設定変更、main直push、強制pushを軽作業扱いする
- GitHub Desktop、Codex、GitHub Copilotを万能扱いする
関連ページ
codexguide.jp 関連ページ
FAQ
private repositoryなら機密情報を入れてもよいですか?
いいえ。公開範囲を制限できても、APIキー、パスワード、トークン、秘密鍵、顧客情報はそのまま入れないのが基本です。
GitHub Desktopを使えば安全ですか?
画面で差分を確認しやすくなりますが、操作そのものが自動で安全になるわけではありません。commitやpushの前に人間が確認します。
Codex作業ではprivate repositoryが向いていますか?
公開前の作業や差分確認には使いやすいですが、秘密情報を入れてよいという意味ではありません。
GitHub Copilotの提案はそのまま使えますか?
そのまま採用せず、既存コード、ライセンス、秘密情報、動作確認を人間が見ます。
GitHubリポジトリ全体から見る
このページの内容は、リポジトリ名、公開範囲、private/public、branch、Pull Request、Secrets、GitHub Desktop、Codex連携まで含めて確認すると安全です。
リポジトリ設定の全体像へ戻る
公開範囲、権限、branch、Secrets、Pages、Danger Zoneは、単独ではなくリポジトリ全体の設定として見ます。
private repositoryと機密情報の注意
githubプライベートリポジトリに機密情報保存とは、という検索では、privateならAPIキーや.envを置いて安全なのかが不安になります。結論として、privateでも機密情報を直接コミットしない方針で確認します。
このページでできること
- APIキー、token、.env、SSH秘密鍵、DBパスワード、OAuth client secret、FTP情報を直接コミットしないようにします。
- Secretsを使う場合も、コードやGitHub Actionsログに値が出ないように確認します。
- 漏れた可能性がある場合は、削除だけで済ませず、キーの無効化や再発行を検討します。
| 項目 | 見ること | 初心者の注意点 |
|---|---|---|
| 直接コミットしない | APIキー、token、.env、SSH秘密鍵 | privateでも避ける |
| Secrets管理 | Actions、CodespacesなどのSecrets | 対象範囲とログ出力に注意 |
| 漏えい時 | 履歴、ログ、fork、cloneを確認 | 無効化・再発行を優先 |
commit前・公開前チェックリスト
- APIキーを直接コミットしていないか
- .envをリポジトリに入れていないか
- GitHub Actionsのログに秘密情報が出ていないか
- CodexやCopilotに秘密情報を貼っていないか
- 漏れたキーを再発行したか
公式情報で確認すること
公開範囲、権限、Secrets、GitHub Desktop、Copilot関連の仕様や制限は変わる可能性があります。2026年6月11日確認の公開情報を確認し、このページでは固定仕様として断定しません。