Codex Guide
まなぶちゃんがCodex作業の読み方を確認しているイラスト GPTガイドくんがCodex作業の確認ポイントを説明しているイラスト

GitHubを見る前に

コード管理と秘密情報を分けて考える

GitHubはコード履歴や差分確認に向いています。APIキー、パスワード、DB情報などを置かないこともセットで確認しましょう。

まなぶちゃん

GitHubには何でも保存していいの?

GPTガイドくん

コード管理には便利ですが、秘密情報は入れません。差分を見るページと、入れてはいけないもののページを一緒に確認しましょう。

コードを見る差分を確認する秘密情報を避ける

Repository safety guide

GitHubに秘密情報を置かないための基本

リポジトリに秘密情報を入れないために、確認すべきファイルとCodexへの確認依頼を整理します。

当サイトはOpenAIやGitHubの運営サイトではありません。CodexとGitHubを安全に使うための非公式ガイドです。
GitHubやCodexの画面、機能、連携方法は変わる可能性があります。最新情報が必要な場合は、各提供元が公開している情報を確認してください。
目次
  1. このページで分かること
  2. なぜリポジトリに入れてはいけないか
  3. GitHub Secretsとの違い
  4. Codexに確認を頼む指示文
  5. 誤って入れた時の基本方針
  6. やってはいけないこと
  7. 秘密情報チェックリスト
  8. 関連ページ

このページで分かること

秘密情報とは、第三者に見られると不正利用や情報漏えいにつながる可能性がある情報です。認証キー、パスワード、秘密鍵、接続情報、メール設定、OAuth情報、環境変数ファイル、設定ファイル、バックアップ、DB dump、ログファイル、個人情報などが候補になります。

なぜリポジトリに入れてはいけないか

publicリポジトリでは外部から見える可能性があり、privateでも権限設定や共有範囲を誤ると危険です。privateなら何を入れても安全、とは考えず、そもそも秘密情報をリポジトリ本文に入れない運用にします。

GitHub Secretsとの違い

GitHub Secretsは、ワークフローなどで使う秘密情報をコードへ直接書かないための仕組みとして扱います。ただし、何をSecretsへ寄せるか、誰が扱えるか、ログに出ないかは人間が確認します。

Codexに確認を頼む指示文

このリポジトリに、認証キー、パスワード、秘密鍵、接続情報、環境変数ファイル、設定ファイル、メール設定、個人情報、DB dump、ログファイルが混入していないか確認してください。修正はまだ行わず、該当候補と確認理由だけ報告してください。本物の値は出力しないでください。

誤って入れた時の基本方針

  • 公開を止める必要があるか判断する
  • 値を画面や報告書に再掲しない
  • 関係者へ確認する
  • 該当情報の無効化や再発行を検討する
  • 履歴に残っている可能性を確認する
  • 次回から除外ルールを作る

やってはいけないこと

  • 本物の値を例として書く
  • privateだから安全と考える
  • 秘密情報を報告書に貼り直す
  • ログやバックアップを確認せず公開する
  • AIに重要判断を丸投げする

秘密情報チェックリスト

  • 認証キーが入っていない
  • パスワードが入っていない
  • 秘密鍵が入っていない
  • 接続情報が入っていない
  • 環境変数ファイルを確認した
  • 設定ファイルを確認した
  • バックアップやログを確認した
  • 本物の値を出力していない

関連ページ

リポジトリ接続Codex連携前の確認GitHubの権限設定アクセス範囲を絞る最小限のリポジトリ接続対象だけ接続する個人サイトと業務サイトの分離権限を混ぜない秘密情報を置かない基本認証情報を守るCodexの使い方中核ページCodexとGitHub連携既存連携ガイドGitHubの使い方カテゴリ親ページGitHubとCodexPRレビューと差分確認プロのGitHub運用安全な運用フロー触らせないファイル禁止範囲を決めるCodexに渡す情報依頼前整理報告書の読み方確認結果を見る

Codexに渡す前に注意

認証情報や本番環境に関わるファイルは、作業前に扱いを決めておく必要があります。迷う場合は、まず「確認だけ」を依頼します。

  • APIキーを貼らない
  • SSH鍵を貼らない
  • DB情報を貼らない
  • .env を公開しない
  • config.php を不用意に触らせない
  • AdSenseコードやSearch Console確認ファイルを触らせない
  • .htaccess は必要がある時だけ慎重に扱う

図表と具体例で見る実務ポイント

このページで分かること

  • リポジトリに入れない情報の種類
  • public / privateでも油断しない理由
  • Codexに確認だけ頼む方法
  • 誤って見つけた時に止める条件
項目扱い
APIキー実値を貼らず、候補の有無だけ確認します。
SSH鍵リポジトリや依頼文に入れません。
DB接続情報中身を共有せず、存在候補だけ報告させます。
.env / config.php公開本文やPRに中身を出しません。
DB dump / ログリポジトリに含めない前提で確認します。
このリポジトリに、APIキー、パスワード、SSH鍵、DB接続情報、.env、config.php、メール設定、個人情報、DB dump、ログファイルが混入していないか確認してください。
修正はまだ行わず、該当候補と確認理由だけ報告してください。

この場合は止める

  • 対象ファイルが分からない
  • HTTP 500またはHTTP 404が出た
  • SEOタグ変更が必要になった
  • .htaccess変更やDB変更が必要になった
  • 秘密情報が関係しそう
  • 共通パーツを大きく変える必要がある
  • 未作成URLへリンクしそう
  • GitHub権限やSecrets変更が必要になった

Codexの機能、料金、利用条件は変わる可能性があります。最新情報が必要な場合は提供元の情報を確認し、コードやファイルの変更後は人間が確認してください。秘密情報や認証情報は渡さず、重要な判断は人間が行います。AIレビューは人間レビューの補助として扱います。

次に読むページ

触らせないファイルを見る/codex-do-not-touch/GitHubとCodex連携を見る/github-codex/報告書の読み方を見る/codex-report-reading/

GitHubを実務でどう使うか

GitHubをコードの図書館から、変更履歴、差分確認、Codex作業対象、公開前チェックの記録場所へ広げて使うための具体例です。

GitHubをコードの図書館として使う方法GitHubをまずはコード置き場、あとから見返せる図書館として使う考え方を整理します。GitHubで変更履歴を残す方法GitHubをただの保存場所で終わらせず、いつ何を直したか分かる記録場所として使います。GitHubを戻せる場所として使う方法事故が起きた時に慌てて全部戻すのではなく、差分を見て直前変更を確認する考え方を整理します。GitHubをCodexに見せる作業対象として使う方法GitHubリポジトリをCodexの作業対象として使う時の、範囲指定と確認の基本を整理します。GitHub Pull Requestで差分を見る方法Pull Requestを、変更を本体に入れる前の確認場所として使う考え方を整理します。個人サイト制作でGitHubを使う流れ静的HTMLサイトや小規模情報サイトで、GitHubをコード保管から公開前チェックまで使う流れをまとめます。GitHubに入れてよいもの・入れてはいけないものGitHubを安全なコード図書館として使うために、置いてよいものと置かないものを整理します。