我正在开发使用Electron构建的商业桌面应用程序,我们的代码库位于GitHub私有存储库上。我们正在尝试使开发人员能够将二进制文件发布到GitHub版本,并使用电子更新程序进行自动更新。
通过谷歌搜索和试验,我可以使它正常工作,但是我需要公开一个具有read:packages,repo和write:packages权限的GH令牌。由于电子生成器和电子更新器的工作方式,此令牌在安装后以纯文本格式显示在.yml文件中。
我的问题是公开此令牌的安全影响是什么?我能想到的最坏的情况是,恶意用户推送了错误的更新,这似乎并不坏,因为他们只能根据我的理解来推送草稿发布。
具有repo范围的令牌具有对存储库的完全读取和写入访问权限,可用于以为其发出证书的用户的全部特权从存储库中获取和推送到存储库。因此,如果您将该令牌提供给其他人,则他们可以像您一样在存储库上操作。这样的令牌还授予了许多其他API权限。
通常,最好在CI系统中构建发布,并通过安全存储在CI系统秘密存储中的令牌创建和上传发布。您绝对不希望允许您或受信任系统以外的任何人访问您的GitHub令牌。