10年ぶりくらいに記事書きます。
リクエストとか放置ですいません。
内部向けのgemをgithubのプライベートリポジトリで開発して、Gemfileに書いてbundle installする方法はいくつかありますが、環境変数を使い、かつGemfile.lockにtokenを残さないようにするには以下のようにします。
Gemfile
gem 'hoge', git: 'https://github.com/nysalor/private-repo.git'
BUNDLE_GITHUB__COM=[github token]:x-oauth-basic bundle install
tokenはgithubのpersonal access tokenから取得します。
なおGemfileに git: 'git://github.com...' や github: 'nysalor/private-repo' と書いてもtokenを利用できないので注意。 git: 'https://github.com...' でないといけない。
考えてみれば当たり前なんだけど、ハマったので。