GHgithubguide.jp

GitHubをチームで使う時の基本

GitHubを複数人で使う時は、repoを共有するだけでは足りません。誰が何を見られるか、誰が変更できるか、どのbranchを守るか、誰がreviewするかを先に決めます。

このページでわかること

  • 権限、branch、review、Secretsの基本方針を整理する
  • 外注先やCodex作業の範囲を決める
  • 作業終了後の権限見直しまで流れに入れる

まず確認すること

  • mainを直接触らない運用にできているか見る
  • SecretsやActionsを触る人を絞る
  • READMEやCONTRIBUTINGに作業ルールを残す

やってはいけないこと

  • 権限を広く渡して後から考える
  • review担当を決めずにmergeする
  • 退職者や終了メンバーの権限を放置する

安全寄りに進める手順

  1. 対象のrepo、branch、PR、Actions runを確認する。
  2. Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
  3. 必要な場合は値を停止または再発行し、影響範囲を整理する。
  4. 変更は小さなbranchとPRに分け、CIとreviewで確認する。

CodexやAI作業時の注意

AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。

一次情報で確認する領域

Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。

関連ページ

チーム運用とSecurity alert確認

Securityタブ、Dependabot、Secret scanning、Code scanning、Dependency review、third-party action、Codex修正時の確認を、PRとreviewに戻せる順番で整理しました。

チーム運用・監査・引き継ぎの整理

commit message、Issue、PR description、AI/Codex作業証跡、audit log、引き継ぎを、Secretsや非公開情報を残さない前提で整理しました。