GitHub Actionsで外部actionを使う時の注意点|権限・version固定・Secrets確認
外部actionを使う時は、便利さだけでなく、何を実行し、どの権限を持ち、Secretsに触れるかを確認します。Codexが追加した場合もPRで見直します。
このページでわかること
- third-party actionを見る時の確認軸がわかる
- permissionsとSecretsの関係を確認できる
- version固定やメンテナンス状況を見る理由がわかる
まず確認すること
- どのactionを使うか確認する
- 提供元、version指定、更新状況を見る
- permissionsとSecretsを渡す必要があるか確認する
- workflowログとPR差分を見る
やってはいけないこと
- 外部actionを無条件に信頼しない
- Secretsを不要に渡さない
- 危険なworkflow例を本文に載せない
安全寄りに進める手順
- 対象のrepo、branch、PR、Actions runを確認する。
- Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
- 必要な場合は値を停止または再発行し、影響範囲を整理する。
- 変更は小さなbranchとPRに分け、CIとreviewで確認する。
CodexやAI作業時の注意
AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。
一次情報で確認する領域
Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。