GitHubセキュリティ確認チェックリスト|Secrets・Dependabot・Actions・権限・PR確認
GitHubのセキュリティ確認は一つの機能だけで終わりません。Secrets、依存関係、Actions、権限、PR reviewを分けて確認します。
このページでわかること
- 第8波のセキュリティページを横断できる
- Secrets、Dependabot、Actions、権限をまとめて確認できる
- AI修正や外部PRをPR reviewへ戻せる
まず確認すること
- Secretsをコードやworkflowに入れていないか見る
- Dependabot、Secret scanning、Code scanning alertsを確認する
- Actions permissionsとthird-party actionを確認する
- PR review、権限、外注終了後の見直しを確認する
やってはいけないこと
- チェックリストだけで十分としない
- 安全を保証する表現にしない
- PRやCIを省いて本番反映しない
安全寄りに進める手順
- 対象のrepo、branch、PR、Actions runを確認する。
- Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
- 必要な場合は値を停止または再発行し、影響範囲を整理する。
- 変更は小さなbranchとPRに分け、CIとreviewで確認する。
CodexやAI作業時の注意
AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。
一次情報で確認する領域
Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。
関連ページ
- GitHub Securityタブとは?Dependabot・Code scanning・Secret scanningの基本
- GitHub Dependabotとは?依存関係の脆弱性通知と更新PRの見方
- GitHub Secret scanningとは?APIキー・token検知時に確認すること
- GitHub Code scanningとは?コード上の問題を確認する時の基本
- GitHub Security alertが出た時に確認すること|重要度・影響範囲・更新PR
- GitHub Dependency reviewとは?依存関係の追加・更新をPRで確認する基本
- CodexにGitHubのセキュリティ修正を頼む時の確認|差分・CI・依存関係・Secrets
- GitHub Actionsで外部actionを使う時の注意点|権限・version固定・Secrets確認
- /github-team-security-checklist/
- https://aisafety.jp/ai-secrets-check/