GHgithubguide.jp

GitHub Secretsとは|APIキー・token・.envを守る基本チェック

GitHub Secretsは、Actionsなどで必要な機密値をコード本文から分けて扱うための仕組みです。ただし、設定しただけで全ての経路が守られるわけではありません。

このページでわかること

  • APIキーやtokenをコードへ直接書かない
  • .envや設定ファイルをコミット対象から外す
  • Actionsのログ、PR差分、スクリーンショットにも注意する

まず確認すること

  • Secretsに移すべき値と公開してよい値を分ける
  • Actionsで使う値は必要最小限の権限にする
  • 漏えい疑いがある値は停止・再発行・影響範囲確認を行う

やってはいけないこと

  • 実際のキー値を例として置く
  • private repoを理由に確認を省く
  • ログや差分に値が出る形で検証する

安全寄りに進める手順

  1. 対象のrepo、branch、PR、Actions runを確認する。
  2. Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
  3. 必要な場合は値を停止または再発行し、影響範囲を整理する。
  4. 変更は小さなbranchとPRに分け、CIとreviewで確認する。

CodexやAI作業時の注意

AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。

一次情報で確認する領域

Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。

関連ページ

公開前チェックとSecrets確認導線

repository、README、.gitignore、license、release、changelog、公開前チェックを、初心者が迷いやすい順に整理しました。

Pages公開前チェックとSecrets確認導線

GitHub Pages、静的HTML、独自ドメイン、HTTPS、404、CSS・画像パス、sitemap・robots、Codex公開ワークフローを確認順に整理しました。

commit前のSecrets・不要ファイル確認導線

GitHub Desktop、VS Code、clone、local repository、commit、push、pull、Sync Changes、diff、conflict、push失敗時の確認を、初心者が作業前に見られる順番で整理しました。

Secrets混入時のSTOP確認導線

戻したい、消した、間違えた、差分が大きい、branchやmergeで不安がある時に、履歴、diff、revert、STOP条件を確認できるページを整理しました。

ActionsのSecrets・permissions確認導線

GitHub Actionsのworkflow、trigger、CI/CD、Pagesビルド、schedule、permissions、artifacts、deploy、トラブル確認を、ログとSecretsを守る実務導線として整理しました。

Secrets・Actions・権限見直しの導線

チーム運用、collaborator権限、Organization、branch protection、PR review、CODEOWNERS、Issue/PR template、外注権限、退職者・終了メンバー確認を整理しました。

SecretsとSecret scanningの確認導線

Securityタブ、Dependabot、Secret scanning、Code scanning、Dependency review、third-party action、Codex修正時の確認を、PRとreviewに戻せる順番で整理しました。