今回やったこと
CodexでGitHub作業を進める前に、既存の CodexとGitHub と Codexに渡さない秘密情報 を受け皿として確認しました。gitignoreだけの薄いページは作らず、commit前チェック、private repositoryの注意、Secretsとコード直書きの違いを既存ページへ統合しました。
既存ページへ統合した理由
gitignoreは重要ですが、ファイル名の一覧だけでは安全確認として足りません。実務では「何をGitHubへ入れないか」「private repositoryでも注意すること」「Codexへ見せてよい範囲」「commit前にどこで止めるか」を一緒に見ます。そのため、GitHub安全と秘密情報のページにまとめる方が読者にとって迷いにくいと判断しました。
GitHubに入れてはいけない情報の見方
| 項目 | GitHubに入れる判断 | Codexに見せる判断 | 注意点 |
|---|---|---|---|
| 認証に使う値 | 直書きしない | 実値を見せない | 伏せ字や説明に置き換える |
| 環境設定ファイル | 原則除外候補 | 中身は見せない | サンプルだけ別管理にする |
| ログやバックアップ | 混入を確認 | 必要部分だけ要約 | 個人情報や内部パスに注意 |
| DBやダンプ | 基本入れない | 実データを見せない | 構造説明だけにする |
| 会社情報・顧客情報 | 人間確認 | そのまま渡さない | 契約や社内ルールを優先する |
gitignoreで確認した候補
一般例として、環境設定、ログ、バックアップ、圧縮ファイル、秘密鍵、キャッシュ、依存パッケージ、認証情報用ディレクトリは除外候補になります。ただし、サイトや開発環境によって必要なファイルは変わるため、Codexだけで決めず人間が確認します。
- 環境設定やローカル専用の設定ファイル
- ログ、バックアップ、ダンプ、キャッシュ
- 秘密鍵や認証情報に近いファイル
- 依存パッケージや一時生成物
- 公開前の作業メモやprivateな資料
private repositoryでも止める理由
private repositoryは公開repositoryより範囲が狭いとしても、招待ユーザー、Organization、連携サービス、AI作業環境から見える可能性があります。privateだから秘密情報を直書きしてよい、とは扱いません。Secretsに置くべき情報と、コードやIssueに書いてよい情報は分けて考えます。
commit前チェックリスト
- 変更ファイル一覧に想定外のファイルがない
- 環境設定や認証に近いファイルが混ざっていない
- ログ、バックアップ、ダンプ、圧縮ファイルが混ざっていない
- GitHub Secretsの実値を本文やコードに書いていない
- private repositoryの公開範囲と権限を確認した
- main直pushや本番反映をCodex判断で進めていない
- 公開前チェックと報告書で確認結果を残した
Codexに任せすぎないこと
秘密情報の最終判断、GitHub Secretsの実値入力、公開範囲の変更、本番deploy、DB、cron、DNS、.htaccessの変更は、Codexへ丸投げしません。Codexには「確認項目を整理する」「差分を見る」「報告書に残す」役割を頼み、危険な判断は人間確認に戻します。