GitHub Security alertが出た時に確認すること｜重要度・影響範囲・更新PR

このページでわかること

• alertの種類を分けて確認できる
• 重要度と本番影響を切り分けられる
• PR、CI、review、報告相談へつなげられる

まず確認すること

• alertが依存関係、コード、Secretsのどれか見る
• 対象repo、branch、file、packageを確認する
• 修正PRや回避策の有無を確認する
• 必要なら関係者へ相談する

やってはいけないこと

• alertを無視してよいと書かない
• 攻撃や再現を目的にしない
• 対応完了をCIなしで決めない

安全寄りに進める手順

1. 対象のrepo、branch、PR、Actions runを確認する。
2. Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
3. 必要な場合は値を停止または再発行し、影響範囲を整理する。
4. 変更は小さなbranchとPRに分け、CIとreviewで確認する。

CodexやAI作業時の注意

AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。

一次情報で確認する領域

Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。

関連ページ

• GitHub Securityタブとは？Dependabot・Code scanning・Secret scanningの基本
• GitHub Dependabotとは？依存関係の脆弱性通知と更新PRの見方
• GitHub Secret scanningとは？APIキー・token検知時に確認すること
• GitHub Code scanningとは？コード上の問題を確認する時の基本
• GitHubセキュリティ確認チェックリスト｜Secrets・Dependabot・Actions・権限・PR確認