gitignoreは秘密情報を守る最後の壁ではない
Codex作業でGitHubへ入れる前には、gitignore、Secrets、diff、PR本文、Actionsログを分けて確認します。private repoでも、機密情報や業務データをそのまま入れてよいとは考えません。
gitignoreは「Gitに入れないファイルを決める設定」です。GitHub Secretsは「値を直接コードに書かず、実行環境に渡す仕組み」です。役割が違います。
入れない情報の例
| 種類 | 確認する場所 | 注意点 |
|---|---|---|
| APIキーやtoken | diff、設定ファイル、Actionsログ | 値そのものをコードや本文に出さない |
| .envや認証情報 | gitignore、git status、PR差分 | ファイル名だけでなく中身の混入も見る |
| FTP / SSH / DB情報 | スクリプト、ログ、レポート | 接続先や値を公開本文に書かない |
| 業務データや顧客情報 | CSV、Spreadsheet、Google Drive、添付ファイル | private repoでも慎重に扱う |
| ローカルパス | HTML、JSON、ログ、レポート | 公開本文に個人環境のパスを出さない |
確認チェックリスト
- gitignoreを確認した。
- GitHub Secretsとの使い分けを確認した。
- APIキー、token、.env、FTP、SSH、DB情報を入れていない。
- Actionsログに値が出ていない。
- private repoでも機密情報をそのまま入れていない。
- PR本文や作業レポートに認証情報を書いていない。
- mainへ入れる前に人間が差分を確認した。
FAQ
Codex作業でgitignoreはなぜ重要ですか?
作業中に生成された設定ファイルや環境ファイルをGitに入れないためです。ただし、gitignoreだけで安全と判断せず、diffとPRも確認します。
private repoならAPIキーを入れても安全ですか?
安全とは断定できません。private repoでも、共有、ログ、Actions、権限変更、流出の可能性があるため、値そのものは入れない運用にします。
GitHub Secretsとgitignoreは何が違いますか?
gitignoreはファイルをGit管理から外すための設定で、GitHub Secretsは値をコードに書かず実行環境へ渡すための仕組みです。
Codexで作った変更をmainに入れる前に何を確認しますか?
diff、branch、PR、Actions、Secrets、公開URL、スマホ表示を確認します。AIが作った変更でも、人間確認を省きません。
関連ページ:git/diff確認、Codex security、Codex GitHub、GitHub Secrets確認、AI Safetyのgitignore確認。
Google Drive / Sheets / Calendar由来データの確認
Google DriveやSheets由来のCSV、JSON、HTMLメモをGitHubへ入れる前に、gitignore、Secrets、private repo前提の過信、履歴に残る情報を確認します。