3

我正在开发一个使用 Electron 构建的商业桌面应用程序,我们的代码库位于 GitHub 私有存储库中。我们正在尝试使开发人员能够将二进制文件发布到 GitHub 版本,并使用 electron-updater 自动更新。

通过谷歌搜索和试验,我得到了这个工作,但我需要公开一个具有 read:packages、repo、write:packages 权限的 GH 令牌。由于 electron-builder 和 electron-updater 的工作方式,此令牌在安装后以明文形式在 .yml 文件中公开。

我的问题是暴露这个令牌有什么安全影响?我能想到的最糟糕的情况是让恶意用户推送虚假更新,这似乎并没有那么糟糕,因为他们只能根据我的理解推送草稿版本。

4

1 回答 1

3

具有范围的令牌具有repo对您的存储库的完全读写访问权限,并且可用于使用为其颁发该令牌的用户的完全权限从您的存储库中获取和推送到您的存储库。因此,如果您将该令牌提供给其他人,他们可以像您一样对存储库进行操作。这样的令牌还授予许多其他 API 权限。

一般来说,最好在 CI 系统中构建发布,并通过安全存储在 CI 系统的秘密存储中的令牌创建和上传发布。您绝对不想让除您或受信任系统之外的任何人访问您的 GitHub 令牌。

于 2020-05-21T22:44:14.510 回答