将 GH_TOKEN 与 electron-builder 一起用于 publishing/updating 应用程序是否存在任何安全问题?
Are there any security concerns with exposing GH_TOKEN to use with electron-builder for publishing/updating app?
我正在开发一个使用 Electron 构建的商业桌面应用程序,我们的代码库位于 GitHub 私有存储库中。我们正在尝试使开发人员能够将二进制文件发布到 GitHub 版本,并使用 electron-updater 自动更新。
通过谷歌搜索和试验,我得到了它的工作,但我需要公开一个具有 read:packages、repo、write:packages 权限的 GH 令牌。由于 electron-builder 和 electron-updater 的工作方式,此令牌在安装后以明文形式暴露在 .yml 文件中。
我的问题是公开此令牌会产生什么安全影响?我能想到的最糟糕的情况是让恶意用户推送虚假更新,这似乎并没有那么糟糕,因为他们只能推送我所理解的草稿版本。
具有 repo 范围的令牌具有对您的存储库的完全读写访问权限,并且可用于从存储库中获取和推送到您的存储库,并具有为其颁发的用户的全部权限。因此,如果您将该令牌交给其他人,他们可以像您一样在存储库上进行操作。这样的令牌还授予许多其他 API 权限。
一般来说,在 CI 系统中构建您的版本并通过安全存储在您的 CI 系统的秘密存储中的令牌创建和上传版本会更好。您绝对不想让除您或受信任系统以外的任何人访问您的 GitHub 令牌。
我正在开发一个使用 Electron 构建的商业桌面应用程序,我们的代码库位于 GitHub 私有存储库中。我们正在尝试使开发人员能够将二进制文件发布到 GitHub 版本,并使用 electron-updater 自动更新。
通过谷歌搜索和试验,我得到了它的工作,但我需要公开一个具有 read:packages、repo、write:packages 权限的 GH 令牌。由于 electron-builder 和 electron-updater 的工作方式,此令牌在安装后以明文形式暴露在 .yml 文件中。
我的问题是公开此令牌会产生什么安全影响?我能想到的最糟糕的情况是让恶意用户推送虚假更新,这似乎并没有那么糟糕,因为他们只能推送我所理解的草稿版本。
具有 repo 范围的令牌具有对您的存储库的完全读写访问权限,并且可用于从存储库中获取和推送到您的存储库,并具有为其颁发的用户的全部权限。因此,如果您将该令牌交给其他人,他们可以像您一样在存储库上进行操作。这样的令牌还授予许多其他 API 权限。
一般来说,在 CI 系统中构建您的版本并通过安全存储在您的 CI 系统的秘密存储中的令牌创建和上传版本会更好。您绝对不想让除您或受信任系统以外的任何人访问您的 GitHub 令牌。