Permissões de Workflow - Definição do Glossário CI/CD
As permissões de workflow limitam o escopo do GITHUB_TOKEN por meio da chave permissions: para o menor privilégio.
As permissões de workflow definem os escopos de acesso concedidos ao GITHUB_TOKEN por meio da chave permissions:, permitindo restringir um workflow ao menor privilégio, como contents: read.
O bloco permissions:, definido no nível do workflow ou do job, especifica exatamente quais escopos de token uma execução possui. Começar de contents: read e adicionar apenas o necessário é o padrão seguro.
Exemplo
.github/workflows/deploy.yml
permissions:
contents: read
id-token: write # for OIDC