Token Somente Leitura - Definição do Glossário CI/CD
Um token somente leitura pode buscar dados, mas não pode modificar repositórios, um padrão seguro para a maioria dos jobs de CI.
Um token somente leitura concede acesso de leitura sem escrita, por exemplo contents: read. Configurar o GITHUB_TOKEN do workflow como somente leitura por padrão significa que uma action comprometida não consegue enviar código nem alterar configurações.
Padrão seguro
A maioria dos jobs de build e teste só precisa ler o repositório. Deixar o token como somente leitura por padrão e adicionar permissions: contents: write no único job que precisa fazer push contém o raio de impacto de um ataque à cadeia de suprimentos.
Guias relacionados
Workflow Permission - CI/CD Glossary DefinitionWorkflow Permission: A workflow permission is set with the `permissions:` key to scope the automatic `GITHUB_…
Token Scope - CI/CD Glossary DefinitionToken Scope: A token scope is a permission attached to a credential that bounds what it can do, such as `repo…
Ephemeral Credential - CI/CD Glossary DefinitionEphemeral Credential: An ephemeral credential is a token or key issued just-in-time for one CI run and expiri…