GitHub Secret scanningとは?APIキー・token検知時に確認すること
Secret scanningの通知は、値が見つかった可能性を知らせる入口です。通知を閉じる前に、値の無効化、再発行、影響範囲を確認します。
このページでわかること
- Secret scanning alertを見た時の初動がわかる
- Secrets事故ページとつなげて確認できる
- commit、ログ、artifactsまで見る理由がわかる
まず確認すること
- 該当値が本物か、使われているか確認する
- 必要に応じて無効化や再発行を検討する
- commit履歴、Actionsログ、artifactsの露出を確認する
- 対応記録に実値を書かない
やってはいけないこと
- 実際のキー値を本文やPRに書かない
- 削除しただけで十分と決めつけない
- 通知を閉じるだけで対応完了にしない
安全寄りに進める手順
- 対象のrepo、branch、PR、Actions runを確認する。
- Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
- 必要な場合は値を停止または再発行し、影響範囲を整理する。
- 変更は小さなbranchとPRに分け、CIとreviewで確認する。
CodexやAI作業時の注意
AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。
一次情報で確認する領域
Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。