安全運用
SSH秘密鍵をGitHubに入れないための注意点
SSH秘密鍵と公開鍵の違い、秘密鍵をcommitしないこと、漏れた時の危険性を整理します。
このサイトはGitHub公式サイトではありません。GitHubの基本的な使い方や、Codex・ChatGPT時代のコード管理を初心者向けに整理する非公式ガイドです。機能・料金・提供状況は変更される可能性があるため、重要な判断ではGitHub公式情報も確認してください。
このページでわかること
- SSH秘密鍵をGitHubに入れないための注意点で最初に確認すること
- 実務でつまずきやすいポイント
- CodexやChatGPTと組み合わせる時の考え方
- 秘密情報や本番反映の事故を避ける注意点
最初に結論
SSH秘密鍵は本人だけが持つ重要情報です。GitHubの通常ファイルに入れないでください。
初心者向け説明
公開鍵と秘密鍵は役割が違います。秘密鍵が漏れると接続権限に関わるため、commit前のファイル一覧で確認します。
向いている使い方
- 作業前の確認手順を固定したい
- GitHub管理サイトの事故を減らしたい
- CodexやChatGPT作業の確認に使いたい
注意が必要な使い方
- 秘密情報をGitHubやHTMLに出さない
- 本番反映前に公開URLと差分を確認する
- わからないまま削除や上書きをしない
CodexやChatGPTと組み合わせる場合
CodexやChatGPTに依頼する時は、目的、対象ファイル、触らないファイル、停止条件、報告形式を分けて書くと、作業後のGitHub確認へつなげやすくなります。
秘密情報・APIキー・パスワード・個人情報の注意
APIキー、パスワード、秘密鍵、FTP資格情報、DB情報、メール設定、個人情報は、HTML、README、ログ、JSON、報告書、GitHubの差分に出さない前提で扱います。
関連ページ
FAQ
SSH秘密鍵をGitHubに入れないための注意点は初心者でも確認できますか?
はい。操作の細部より、どの順番で何を確認するかを重視して整理しています。
CodexやChatGPTを使う場合も必要ですか?
必要です。自動化できる部分が増えても、差分確認、秘密情報確認、公開URL確認は残します。
秘密情報が混ざった可能性がある時は?
commit、push、merge、deployを急がず、公開範囲と履歴への混入有無を確認します。必要ならキーやパスワードを無効化します。
本番反映後も確認しますか?
はい。GitHub上の状態と公開URLの状態は別なので、deploy後にHTTP 200、CSS、canonical、noindexなしを確認します。