有没有办法强制GitHub操作在叉子上使用拉的请求触发器中使用主分支工作流程？

Question

我有一个使用叉子模型的github动作的问题。

我使用叉子模型，需要在叉子工作流程中以叉子返回基本存储库中的拉动库来检查叉子存储库。 CI工作流程需要基本存储库的一些秘密。

当前设置：

1. 基本存储库/主branch/.github/workflows/正确的工作流文件。

2. 分叉存储库/主分支/.github/workflows/恶意修改文件以揭示秘密。

3. 基本存储库中的操作设置：

   • 从叉拉请求中运行工作流[是]
   • 将写令牌发送到叉拉请求的工作流[no]
   • 将秘密发送到工作流程表格叉拉请求[是]

观察行为/q：

1. 我可以从分叉的主分支机构创建拉动请求 - ＆gt;基本主分支
2. 使用叉子存储库中的文件，请求触发工作流程运行。这是一个问题，因为有人可以分叉分支并添加工作流程以揭示秘密。
3. aws-actions/configure-aws-credentials 在工作流程内可以使用AWS登录。这是一个问题，因为此操作需要权限：id-token：write 。据我了解，叉子的拉请不应授予工作流的任何写入权限。我在这里也担心安全。

有希望的行为：

我想实现的目标是，仍然允许从分叉存储库中提取请求来触发CI工作流，但是使用基本存储库中的文件而不是分叉的存储库。无论如何都可以吗？如果没有，有任何补救措施吗？

还希望检查我对仅授予分叉拉的请求的所谓阅读权限的理解。为什么 id-token：Write 权限似乎有效？工作流文件中的显式权限声明确实可以覆盖叉拉请求限制吗？

如果我误解重要的概念，则是第一次工作流用户深表歉意。

参考：预防pwn攻击

Answer 1

我无法提供保护一般证书的解决方案，但是我可以为AWS特定的凭证提出解决方法。

OpenID Connect

您可以创建一个启用OpenID的IAM角色， Trust github Action假设它。这是通过我们的各种GitHub行动来实现的。

您可以在Github的文档中找到更多细节。