具有存储库写权限的任何人都可以创建,读取和使用机密。
假设存在一个GitHub存储库机密,其中包含用于部署到暂存(甚至生产)环境的令牌。
任何具有write权限的协作者都可以创建一个新的GitHub工作流文件,使用存储库秘密将该工作流文件部署到登台/生产环境中,将更改推送到任何分支中,从而触发该工作流。 >
结果,将部署任意版本的代码。
是否可以防止这种情况并只允许触发授权用户的部署?
如何防止存储库协作者触发工作流
•
问答
zhonglin0701 回答:如何防止存储库协作者触发工作流
暂时没有好的解决方案,如果你有好的解决方案,请发邮件至:iooj@foxmail.com