読み取り専用トークン - CI/CD用語集の定義
読み取り専用トークンはデータを取得できますが、リポジトリを変更することはできず、ほとんどの CI job にとって安全なデフォルトです。
読み取り専用トークンは、例えば contents: read のように、書き込みなしで読み取りアクセスを付与します。workflow の GITHUB_TOKEN をデフォルトで読み取り専用に設定すれば、侵害された action がコードを push したり設定を変更したりすることはできません。
安全なデフォルト
ほとんどの build および test job はリポジトリを読み取るだけで済みます。トークンをデフォルトで読み取り専用にし、push が必要な唯一の job にだけ permissions: contents: write を追加することで、サプライチェーン攻撃の影響範囲を封じ込められます。
関連ガイド
Workflow Permission - CI/CD Glossary DefinitionWorkflow Permission: A workflow permission is set with the `permissions:` key to scope the automatic `GITHUB_…
Token Scope - CI/CD Glossary DefinitionToken Scope: A token scope is a permission attached to a credential that bounds what it can do, such as `repo…
Ephemeral Credential - CI/CD Glossary DefinitionEphemeral Credential: An ephemeral credential is a token or key issued just-in-time for one CI run and expiri…