このページの立ち位置
このページは、Codexを使う前にSecretsやローカルパスを公開物へ混ぜないための実務チェックです。
Codexはコードやファイルを読んで変更できるため、便利な一方で、入力する情報と公開する差分の確認が重要になります。
貼らない情報
次の情報は、チャット本文、HTML、JSON、レポート、stage、コミット、PR本文に直接書かない前提で扱います。
- OpenAI APIキー、GitHub token、各種APIキー
- .env の実値、秘密鍵、アクセストークン
- FTP、SSH、DB、管理画面の認証情報
- 会社情報、顧客情報、問い合わせ本文、未公開の業務情報
- 個人用フォルダや同期フォルダなど、公開不要なローカルパス
.gitignoreで守れること、守れないこと
.gitignoreは、指定した未追跡ファイルをGitに追加しにくくする仕組みです。
ただし、既に追跡されているファイル、チャット本文、作業ログ、生成されたHTML、JSONレポートへ入った情報までは自動で消してくれません。
- .env は .gitignore に入れる
- .env.example にはダミー値だけを書く
- 生成HTMLとレポートを公開前に検索する
- 差分レビューでSecretsらしい文字列を確認する
Codex CLI・認証・GitHub連携で見ること
OpenAI公式情報では、Codex CLIはローカル端末から使うコーディングエージェントで、選択したディレクトリ内のコードを読み、変更し、コマンドを実行できます。
認証はChatGPTサインインとAPIキーの扱いがあり、利用する面によって管理対象やデータの扱いが変わります。
GitHub PR reviewでは、差分だけでなくAGENTS.mdやレビュー方針に沿った確認が重要です。
公式情報の確認先
公開前チェック
本番アップロード前には、記事本文だけでなく、sitemap、内部リンク、外部リンク、画像、CSS、スマホ表示まで見ます。
- 公開URLが200になること
- sitemap.xmlに1回だけ掲載されること
- title、description、H1、canonical、robots index,followがあること
- FAQ JSON-LDがあること
- 内部リンク404と画像404がないこと
- Secrets、token、.env、認証情報、公開不要なローカルパスが混入していないこと
- AdSenseコードとSearch Consoleタグを維持すること
関連ページ
FAQ
CodexにSecretsを貼ってよいですか?
APIキー、token、FTP情報、DB情報、.envの実値は貼らず、環境変数やCredential Managerなど公開ファイル外の管理方法を使います。
.gitignoreに入れれば安全ですか?
.gitignoreは未追跡ファイルの追加を避ける助けになりますが、既に追跡済みのファイルやチャット本文、ログ、HTMLへの混入は別に確認します。
GitHub連携やPR reviewでは何を確認しますか?
差分、公開HTML、sitemap、内部リンク、ログ、レポートにSecretsやローカルパスが入っていないかを人間が確認します。
Codexの認証方式は一つだけですか?
OpenAI公式情報では、CLI/IDE extensionはChatGPTサインインとAPIキーの両方に対応し、Codex cloudはChatGPTサインインが必要とされています。