Разрешения для GITHUB_TOKEN
Сведения о конечных точках API GitHub Apps могут получить доступ с каждым разрешением, см. в разделе Разрешения, необходимые для приложений GitHub.
При активации pull_request_target рабочего процесса событием GITHUB_TOKEN предоставляется разрешение на чтение и запись репозитория, даже если он активируется из общедоступной вилки. Дополнительные сведения см. в разделе События, инициирующие рабочие процессы.
Рабочий процесс запускается с помощью запросов на вытягивание Dependabot, как если бы они выполнялись из вилированного репозитория и поэтому используют только GITHUB_TOKENдля чтения. Этот рабочий процесс не может получить доступ к секретам. Сведения о стратегиях защиты этих рабочих процессов см. в разделе Защита системы безопасности для GitHub Actions.
В следующей таблице показаны разрешения, предоставленные для GITHUB_TOKEN по умолчанию. Пользователи с разрешениями администратора для корпорации, организации или репозитория могут задавать разрешения по умолчанию в качестве разрешительных или ограничительных. Сведения о настройке разрешений по умолчанию для GITHUB_TOKEN организации, организации или репозитория см. в разделе [AUTOTITLE, [AUTOTITLE или Отключение или ограничение GitHub Actions для вашей организации](/admin/policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-github-actions-in-your-enterprise#enforcing-a-policy-for-workflow-permissions-in-your-enterprise)](/repositories/managing-your-repositorys-settings-and-features/enabling-features-for-your-repository/managing-github-actions-settings-for-a-repository#setting-the-permissions-of-the-github_token-for-your-repository).
| Область | Доступ по умолчанию (разрешительное) | Доступ по умолчанию (ограничительное) | Максимальный доступ для Запросы на вытягивание из общедоступные вилки репозиториев |
|---|---|---|---|
| actions | чтение/запись | ничего | чтение |
| attestations | чтение/запись | ничего | чтение |
| checks | чтение/запись | ничего | чтение |
| содержание | чтение/запись | чтение | чтение |
| служб | чтение/запись | ничего | чтение |
| Обсуждения | чтение/запись | ничего | чтение |
| id-token | ничего | ничего | ничего |
| служб | чтение/запись | ничего | чтение |
| metadata | чтение | чтение | чтение |
| модели | чтение | ничего | ничего |
| служб | чтение/запись | чтение | чтение |
| pages | чтение/запись | ничего | чтение |
| pull-requests | чтение/запись | ничего | чтение |
| security-events | чтение/запись | ничего | чтение |
| Статусы | чтение/запись | ничего | чтение |
Как вычисляются разрешения для задания рабочего процесса
Изначально в качестве разрешений для GITHUB_TOKEN задаются параметры по умолчанию для предприятия, организации или репозитория. Если на любом из этих уровней по умолчанию заданы ограниченные разрешения, они будут применяться к соответствующим репозиториям. Например, если выбрать в качестве значения по умолчанию на уровне организации ограниченные разрешения, все репозитории в этой организации будут использовать в качестве значения по умолчанию ограниченные разрешения. Затем разрешения корректируются на основе любой конфигурации в файле рабочего процесса: сначала на уровне рабочего процесса, а затем на уровне задания. Наконец, если рабочий процесс был активирован запросом на вытягивание из разветвленного репозитория, а параметр Отправлять маркеры записи отправлять в рабочие процессы из запросов на вытягивание не выбран, разрешения корректируются, чтобы изменить любые разрешения на запись на разрешения только на чтение.