公开GH_TOKEN与electron-builder一起用于发布/更新应用程序是否有任何安全问题？

Question

我正在开发一个使用Electron构建的商业桌面应用程序，我们的代码库是在一个GitHub私人代码库上。我们正在尝试使开发人员能够将二进制文件发布到GitHub版本，并使用电子更新器进行自动更新。

通过谷歌搜索和实验，我实现了这一点，但我需要公开一个GH令牌，该令牌具有read:packages，repo，write:packages权限。由于电子生成器和电子更新器的工作方式，此令牌在安装后以明文形式显示在.yml文件中。

我的问题是，公开此令牌的安全影响是什么？我能想到的最糟糕的情况是，一个恶意用户推送错误的更新，这看起来并不是那么糟糕，因为他们只能推送我所理解的草稿版本。

Answer 1

具有repo作用域的令牌具有对您的存储库的完全读写访问权限，并且可以使用颁发该令牌的用户的完全权限从您的存储库获取和推送到您的存储库。因此，如果您将该令牌提供给其他人，他们可以像您一样在存储库上操作。这样的令牌还授予许多其他API权限。

一般来说，在CI系统中构建版本，并通过安全存储在CI系统的秘密存储中的令牌来创建和上传版本会更好。您肯定不想允许除您或受信任的系统之外的任何人访问您的GitHub令牌。