如何保护github actions自托管运行器？

自托管运行器的文档说明了以下内容 https://docs.github.com/en/actions/security-for-github-actions/security-guides/security-hardening-for-github-actions#hardening-对于自托管运行者 :

因此，自托管运行器几乎不应该用于 GitHub 上的公共存储库，因为任何用户都可以针对存储库打开拉取请求并危害环境。同样，在私有或内部存储库上使用自托管运行器时要小心，因为任何可以分叉存储库并打开拉取请求的人（通常是那些对存储库具有读取访问权限的人）都能够破坏自托管运行器环境，包括获取对机密和 GITHUB_TOKEN 的访问权限，根据其设置，可以授予对存储库的写访问权限。尽管工作流可以通过使用环境和所需的审查来控制对环境机密的访问，但这些工作流不是在隔离的环境中运行，并且在自托管运行器上运行时仍然容易受到相同的风险。

正在 github 存储库上设置以下设置：

足以保护自托管运行者免遭对公共用户存储库的无特权访问？是否应该采取额外的措施？