Codex Guide

Codex GitHub guide

CodexでGitHub作業をする前の安全チェック

GitHub作業では、便利さより先に安全確認を置くと事故を避けやすくなります。公開範囲、PR差分、触っていないファイル、SecretsやAPIキーの混入を確認してから進めます。

このページはGitHub公式サイトではなく、Codex作業でGitHubを確認するための非公式ガイドです。GitHub公式、公認、提携、認定のページではありません。

GitHub API、OAuth、Personal Access Token、Secrets設定、SSHキー設定の実作業は扱いません。APIキー、トークン、Secret、SSHキー、実リポジトリ名、社内情報、サーバーパスは入力・掲載しないでください。

このページで整理すること

  • GitHub作業前チェック
  • Secrets、APIキー、トークン、SSHキー
  • private/publicの確認
  • PRとdiffの確認
  • 公式ロゴや公式画像を使わない

Codexでできること

Codexは、GitHub作業で確認したい観点を整理したり、PRやdiffを見る時のチェックリストを作ったり、release noteを読む時の確認項目を並べたりする補助に使えます。どのrepoを対象にするか、どのファイルを触るか、どのファイルを触らないかを文章にしてから渡すと、作業範囲が明確になります。

Codexだけに任せないこと

CodexがGitHubを何でも自動操作できるとは考えません。PRのマージ、releaseの採用、private/publicの判断、Secretsや.envの扱い、公式情報の確認は人間が行います。特に認証情報やトークンを貼り付けて相談する使い方は避けてください。

GitHubで確認すること

GitHubでは、repository、branch、diff、PR、release、private/public、Secretsの扱いを分けて見ます。Codexの報告だけで終わらせず、GitHub上の差分と公開範囲を確認してから次の作業に進みます。

  • □ APIキーが入っていない
  • □ トークンが入っていない
  • □ SSHキーが入っていない
  • □ .env が公開されていない
  • □ private/public を確認した
  • □ PRの差分を確認した
  • □ 触っていないファイルを確認した
  • □ 公式ロゴや公式画像を使っていない

秘密情報・公開範囲の注意

private repositoryでも秘密情報を入れてよいわけではありません。APIキー、トークン、SSHキー、.env、顧客情報、社内情報、サーバーパス、認証情報は公開・共有前に伏せます。GitHub公式ロゴ、Octocat、公式画像もこのページ群では使いません。

関連ページ

CodexとGitHub連携の親ページrepo、PR、release、安全確認の入口です。 CodexでGitHub repoを扱うにはCodexとGitHub作業の関連テーマです。 CodexでGitHub releaseを確認するにはCodexとGitHub作業の関連テーマです。 CodexでGitHub PRレビューを確認するにはCodexとGitHub作業の関連テーマです。 Codexで複数リポジトリを扱う時の注意CodexとGitHub作業の関連テーマです。 公開前チェック公開前にnoindexや秘密情報を確認します。 private repositoryの注意GitHub側の公開範囲と秘密情報を確認します。

FAQ

CodexにGitHubのトークンを貼ってもいいですか?

貼らないでください。Personal Access Token、APIキー、Secret、SSHキー、認証情報はCodexに入力しない方が安全です。

private repositoryなら秘密情報を入れても安全ですか?

いいえ。privateでも共有範囲や権限、履歴、誤公開のリスクがあります。Secretsや.envの中身をそのまま置かないよう確認します。

CodexだけでPRをレビューできますか?

Codexは確認観点の整理に使えますが、最終レビューやマージ判断は人間が行います。