GitHubをバックアップ代わりに使う時の危ない勘違い
GitHubは変更履歴やrollbackに役立ちますが、秘密情報を預ける場所ではありません。private repoでも完全安全とは考えず、入れるものと入れないものを分けます。
| 種類 | GitHubに入れてよいか | 理由 | 注意 |
|---|---|---|---|
| HTML / CSS / JS | 公開前提なら候補 | 変更履歴を残しやすい | 秘密情報を含めない |
| 画像 / sitemap.xml / robots.txt / ads.txt | 公開用なら候補 | 公開サイトの構成として管理できる | 権利や設定の意味を確認する |
| README / docs / 公開用work-log / news | 候補 | 作業ルールや公開情報を残せる | 内部情報を書きすぎない |
| .env / APIキー / token / password | 入れない | 認証情報や秘密情報だから | 実値をREADMEやHTMLにも書かない |
| DB情報 / SQL dump / FTP・SFTP情報 / SSH鍵 | 入れない | 漏れると本番やデータに影響する | private repoでも直書きしない |
| GitHub Secrets実値 / 個人情報 / 顧客情報 / log / backup丸ごと | 入れない | 不要な共有や漏えいにつながる | AIやCodexに貼る時も伏せる |
AI作業時の安全チェック
- APIキー、token、passwordを入れていない
- .envやDB情報をcommitしていない
- FTP/SFTP情報やSSH鍵を入れていない
- GitHub Secrets実値をREADMEやHTMLに書いていない
- AIやCodexに相談する時も実値を伏せた
- private repoでも完全安全と考えていない