<h1 id="%E6%A6%82%E8%A6%81" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E6%A6%82%E8%A6%81" aria-hidden="true"></a> 概要</h1>
<ul data-line="2" class="code-line">
<li data-line="2" class="code-line">Dockerビルド時にPrivateレポジトリをcloneしたい</li>
<li data-line="3" class="code-line">秘密鍵は漏洩リスクが高いしあんまり扱いたくない</li>
<li data-line="4" class="code-line">権限を制御できるGitHub Personal Access Token (PAT) を使ってみる</li>
</ul>
<h1 id="%E6%89%8B%E9%A0%86" data-line="6" class="code-line">
<a class="header-anchor-link" href="#%E6%89%8B%E9%A0%86" aria-hidden="true"></a> 手順</h1>
<h2 id="1.-pat%E3%81%AE%E4%BD%9C%E6%88%90" data-line="8" class="code-line">
<a class="header-anchor-link" href="#1.-pat%E3%81%AE%E4%BD%9C%E6%88%90" aria-hidden="true"></a> 1. PATの作成</h2>
<p data-line="10" class="code-line"><a href="https://github.com/" target="_blank" rel="nofollow noopener noreferrer">https://github.com/</a> で自分のアイコンから以下のように遷移する。</p>
<ol data-line="12" class="code-line">
<li data-line="12" class="code-line">Settings</li>
<li data-line="13" class="code-line">Developer Settings</li>
<li data-line="14" class="code-line">Personal access tokens</li>
<li data-line="15" class="code-line">Fine-grained tokens</li>
</ol>
<p data-line="17" class="code-line">そして、Generate new token から新しいトークンを作成する。</p>
<p data-line="19" class="code-line">各項目は任意で埋めてもらっていいが、今回は特定のPrivateレポジトリが対象という想定なので、取り立てて注記するなら</p>
<ol data-line="21" class="code-line">
<li data-line="21" class="code-line">Repository access → Only select repositories で必要最小限のレポジトリを選択する</li>
<li data-line="22" class="code-line">Permissions で必要最小限の権限を選択（clone するだけなら Repository permissions → Contents に Read-only だけでいい）</li>
</ol>
<p data-line="24" class="code-line">Generate token を選択すれば新しいPATが作成されるので、トークンを記録しておく。</p>
<h2 id="2.-docker%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AE%E4%BD%9C%E6%88%90" data-line="26" class="code-line">
<a class="header-anchor-link" href="#2.-docker%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AE%E4%BD%9C%E6%88%90" aria-hidden="true"></a> 2. Dockerファイルの作成</h2>
<p data-line="28" class="code-line">後は、PATを用いてレポジトリをcloneするコマンドをDockerfileに書くだけ。</p>
<p data-line="30" class="code-line">例えば、先程記録したPATが環境変数 <code>GITHUB_PAT</code> に格納されているものとして、Privateレポジトリは以下のようにhttps経由でcloneできる。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell code-line" data-line="32"><span class="token function">git</span> clone https://<span class="token variable">${GITHUB_PAT}</span>@github.com/some-username/some-private-repository.git <span class="token builtin class-name">.</span>
</code></pre></div><p data-line="36" class="code-line">注意点としては、PATのようなシークレットを Docker に <code>ENV</code> や <code>ARG</code> を通して渡してはいけないということだけ。そのように渡された値はイメージに残るためセキュリティリスクとなる。</p>
<p data-line="38" class="code-line">そのようなシークレットを扱う手段として、Build secrets があるのでそれを使用する。</p>
<p data-line="40" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__b273430de62d9" src="https://embed.zenn.studio/card#zenn-embedded__b273430de62d9" data-content="https%3A%2F%2Fdocs.docker.com%2Fbuild%2Fbuilding%2Fsecrets%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.docker.com/build/building/secrets/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.docker.com/build/building/secrets/</a></p>
<p data-line="42" class="code-line">いくつか種類があるが、今回のケースでは Secret mounts で十分。</p>
<p data-line="44" class="code-line">Secret mounts では、<code>--secret</code> フラグを用いてシークレットを渡す。例えば、環境変数 <code>GITHUB_PAT</code> の値を渡したい場合は、以下のように渡せる（idは任意）。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell code-line" data-line="46"><span class="token function">docker</span> build <span class="token parameter variable">--secret</span> <span class="token assign-left variable">id</span><span class="token operator">=</span>github_pat,env<span class="token operator">=</span>GITHUB_PAT <span class="token builtin class-name">.</span>
</code></pre></div><p data-line="50" class="code-line">もしくは、PAT が <code>github_pat.txt</code> に記述されている場合は以下のようにも渡せる。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell code-line" data-line="52"><span class="token function">docker</span> build <span class="token parameter variable">--secret</span> <span class="token assign-left variable">id</span><span class="token operator">=</span>github_pat,src<span class="token operator">=</span>github_pat.txt <span class="token builtin class-name">.</span>
</code></pre></div><p data-line="56" class="code-line">渡されたシークレットは、<code>RUN</code> で <code>--mount=type=secret</code> フラグを通して消費できる。例えば、上のコマンドの <code>id=github_pat</code> を使いたい場合は、以下のように Dockerfile を書けばいい。</p>
<div class="code-block-container"><pre class="language-dockerfile"><code class="language-dockerfile code-line" data-line="58"><span class="token instruction"><span class="token keyword">FROM</span> ubuntu:latest</span>

<span class="token instruction"><span class="token keyword">RUN</span> apt-get update &amp;&amp; apt-get install -y git</span>

<span class="token instruction"><span class="token keyword">WORKDIR</span> /app</span>

<span class="token instruction"><span class="token keyword">RUN</span> <span class="token options"><span class="token property">--mount</span><span class="token punctuation">=</span><span class="token string">type=secret,id=github_pat,env=GITHUB_PAT</span></span> <span class="token operator">\</span>
    git clone https://<span class="token variable">${GITHUB_PAT}</span>@github.com/some-username/some-private-repository.git .</span>
</code></pre></div><h3 id="%E8%BF%BD%E8%A8%98%EF%BC%882025-03-25%EF%BC%89" data-line="69" class="code-line">
<a class="header-anchor-link" href="#%E8%BF%BD%E8%A8%98%EF%BC%882025-03-25%EF%BC%89" aria-hidden="true"></a> 追記（2025-03-25）</h3>
<p data-line="71" class="code-line"><code>RUN --mount=type=secret,id=github_pat,env=GITHUB_PAT</code> の <code>env=GITHUB_PAT</code> は比較的新しい記法で、Docker Engine <code>v27.3.0</code> でしかサポートされていないらしい。</p>
<p data-line="73" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__c6e23f898a622" src="https://embed.zenn.studio/card#zenn-embedded__c6e23f898a622" data-content="https%3A%2F%2Fzenn.dev%2Ftksx1227%2Farticles%2F4af1ce9b9e475a" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://zenn.dev/tksx1227/articles/4af1ce9b9e475a" style="display:none" target="_blank">https://zenn.dev/tksx1227/articles/4af1ce9b9e475a</a></p>
<p data-line="75" class="code-line">それより古いバージョンではどうするかというと、シークレットの値は実際には <code>/run/secrets/&lt;id&gt;</code> に格納されているので、直接その値を参照すれば良い。</p>
<p data-line="77" class="code-line">例えば、上の Dockerfile では以下のように書き直せばいい。</p>
<div class="code-block-container"><pre class="language-dockerfile"><code class="language-dockerfile code-line" data-line="79"><span class="token instruction"><span class="token keyword">RUN</span> <span class="token options"><span class="token property">--mount</span><span class="token punctuation">=</span><span class="token string">type=secret,id=github_pat</span></span> <span class="token operator">\</span>
    git clone https://$(cat /run/secrets/github_pat)@github.com/some-username/some-private-repository.git .</span>
</code></pre></div>

GitHub Personal Access Tokenを使ってPrivateレポジトリをDockerビルド時にcloneする

Discussion