GitHub Securityタブとは?Dependabot・Code scanning・Secret scanningの基本
GitHubのSecurityまわりは、通知を見て終わりではなく、対象repo、alertの種類、影響範囲、修正PR、CI、reviewまでつなげて確認します。
このページでわかること
- Securityタブで見る主なalertの種類がわかる
- Dependabot、Code scanning、Secret scanningの役割を分けて理解できる
- 通知をPR確認と人間reviewにつなげる流れがわかる
まず確認すること
- alertの種類と対象repoを確認する
- 対象が依存関係、コード、Secretsのどれかを分ける
- 修正PR、CI、review担当を決める
- Secrets関連なら無効化や再発行も検討する
やってはいけないこと
- 通知を見ただけで対応完了にしない
- 機能の有無や利用条件を古い情報だけで判断しない
- alert内容を外部にそのまま貼らない
安全寄りに進める手順
- 対象のrepo、branch、PR、Actions runを確認する。
- Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
- 必要な場合は値を停止または再発行し、影響範囲を整理する。
- 変更は小さなbranchとPRに分け、CIとreviewで確認する。
CodexやAI作業時の注意
AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。
一次情報で確認する領域
Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。