GitHubに秘密情報をpushしてしまった

開発中、うっかりAPI認証情報をGitHubにpushしてしまいました。気づいたのは5分後。その間に何が起きたのでしょうか。

即座に起きたこと

GitHubは自動的にAPIキーをスキャンし、警告メールが届きました。幸い、すぐに気づいて対処できましたが、冷や汗ものでした。

なぜ漏洩したのか

原因は`.env`ファイルを`.gitignore`に追加し忘れたこと。基本的なミスですが、実際に起こりえます。

正しい対策

  1. 環境変数の使用:APIキーは必ず環境変数で管理
  2. .gitignoreの徹底:最初に設定する
  3. シークレット管理ツール:Cloudflare SecretsやGitHub Secretsを活用
  4. 定期的なローテーション:APIキーを定期的に更新

漏洩してしまったら

  • 即座にAPIキーを無効化
  • 新しいキーを発行
  • Gitの履歴から削除(完全には不可能)
  • 影響範囲を調査

予防が最善の対策です。