GitLab から GitHub への移行チェックリスト（セキュリティ重視）

移行作業は「コードを持っていく」だけでは終わりません。 権限・認証・運用ルールを移し忘れると、移行後に事故が起きます。

1. ミラーリングの前提確認

• ブランチ、タグ、コミットは同期される
• Pull Request は自動移行されない

参考:

• GitLab リポジトリミラーリング（解説）
• GitHub Actions への移行ガイド

2. Organization セキュリティ設定

• Verified domains（組織ドメイン確認）
• Third-party Access（外部連携の許可方針）
• Publisher Verification（検証済み発行者）
• Repository Rulesets（main 直 push 禁止、レビュー必須）

PR 承認数の目安

• 最低 1 承認を推奨
• 0 でも動くが、ガバナンス面では弱くなる

3. GitHub Apps / OAuth の棚卸し

• 必要な App だけを許可
• 不要な OAuth 連携を外す
• 権限スコープを最小化する

4. 認証情報の扱い

• SSH 鍵は用途別に分離
• PAT は最小スコープ + 有効期限付き
• シークレットは Organization / Repository の用途で分ける

トークン文字列や秘密鍵本文を、ドキュメント・Issue・チャットへ貼らない運用を徹底する。

5. Actions 運用の注意

• Secrets 上限、利用範囲を把握する
• 再利用ワークフロー（workflow_call）と複合アクションの使い分けを明確にする
• タグ更新トリガーの挙動を事前検証する

まとめ

移行成功の鍵は、 「ミラーリング設定」よりも「権限・認証・運用ルールの移管」です。 チェックリストを先に作って、段階的に切り替えると事故を減らせます。