安全・チェックリスト
GitHubに秘密情報が混ざっていないか確認する考え方
GitHubにAPIキー、password、token、secret、.env、ログが混ざっていないか確認する基本と、公開前チェックを整理します。
このサイトはGitHub公式サイトではありません。GitHubの基本的な使い方や、Codex・ChatGPT時代のコード管理を初心者向けに整理する非公式ガイドです。機能・料金・提供状況は変更される可能性があるため、重要な判断ではGitHub公式情報も確認してください。
このページでわかること
- GitHubに秘密情報が混ざっていないか確認する考え方で最初に確認すること
- 初心者がつまずきやすいポイント
- CodexやChatGPTと組み合わせる時の考え方
- 秘密情報や公開前確認で注意すること
最初に結論
秘密情報チェックでは、ファイル名、本文、コメント、ログ、README、生成されたHTMLを分けて確認します。
初心者向け説明
APIキー、password、token、secret、.env、秘密鍵、FTP情報、DB情報、メール設定、個人情報に見える文字列はGitHubにも公開HTMLにも出さない前提で扱います。
確認したいポイント
- 作業前に目的と対象範囲を確認する
- 変更ファイルと触らないファイルを分ける
- 公開URLとGitHubの差分を両方確認する
- 秘密情報や個人情報が混ざっていないか見る
注意が必要な使い方
- GitHub上の変更だけで本番公開済みだと判断しない
- 秘密情報、APIキー、パスワード、個人情報をHTMLやログへ出さない
- 公式と誤認される表現や画像素材を使わない
- 不明な時は削除や上書きの前に差分を確認する
CodexやChatGPTと組み合わせる場合
CodexやChatGPTへ依頼する時は、目的、対象ファイル、触らないファイル、停止条件、確認項目、報告形式を分けて渡します。作業後はGitHubの差分と公開URLの両方を確認します。
秘密情報・APIキー・パスワード・個人情報の注意
APIキー、パスワード、秘密鍵、GitHubトークン、FTP資格情報、DB情報、メール設定、個人情報は、HTML、README、ログ、JSON、作業報告、GitHubの差分に出さない前提で扱います。
関連ページ
FAQ
GitHubに秘密情報が混ざっていないか確認する考え方は初心者でも確認できますか?
はい。細かい操作を全部覚えるより、どの順番で何を確認するかを分けると扱いやすくなります。
CodexやChatGPTを使う時も同じですか?
同じです。AIに任せる場合でも、対象ファイル、触らないファイル、停止条件、公開確認は人間が確認できる形にします。
秘密情報が混ざった可能性がある時はどうしますか?
commit、push、deployを急がず、公開範囲と履歴を確認します。必要に応じてキーやパスワードの無効化、再発行、専門的な対応を検討します。
本番反映後も確認しますか?
はい。GitHub上の状態と公開URLの状態は別なので、HTTP 200、CSS、canonical、noindexなし、内部リンク、秘密情報なしを確認します。