codecov如何在没有令牌的情况下验证上传请求?

How can codecov verify a upload request without a token?

this section 中,codecov 文档说:

The upload token is required for all uploads, except originating from public projects using Travis-CI, Circle CI, Azure, Github Actions.

是什么阻止“黑客”上传虚假的 codecov 文件并声称该文件是从启用了 Codecov 的 public 存储库上传的?

是什么让 public 项目与众不同?

Codecov 使用 CI 的状态、当前作业的进度以及来自 public API 的回购和 CI 提供商的知识来确定 public 存储库上的无令牌上传是否应该成功

资料来源:我在回答这个问题时在 Codecov 工作