「GitHub Actions」のワークフローを監視、必要な最小権限を推奨するツールがパブリックβ版に：ワークフロートークンの最小権限モデルへの移行を支援

GitHubは、「GitHub Actions」のワークフローを監視し、実行に必要な最小権限を推奨するツール「actions-permissions」のパブリックβ版をリリースした。

[＠IT]

　GitHubは2023年6月26日（米国時間）、「GitHub Actions」のワークフローを監視し、実行に必要な最小権限を推奨するツール「actions-permissions」のパブリックβ版をリリースした。

　GitHubワークフローは全て、一時的なリポジトリアクセストークン（GITHUB_TOKEN）を受け取る。以前はこれらのトークンは広範な権限セットを持ち、リポジトリに対する完全な読み書きが可能だった（フォークからのプルリクエストを除く）。だが、2021年にワークフロートークンの詳細な権限モデルが導入され、これらのトークンの既定の権限は現在、新しいリポジトリと組織では読み取り専用に設定されている。

　だが、かなりの数のワークフローが、実際には書き込み権限が不要であるにもかかわらず、既定のワークフロー権限設定により、依然として書き込みトークンを使用している。

　ワークフロートークンで広範な既定の権限を使用しているかどうかをチェックしたい場合は、次のように、リポジトリ（または組織）の設定画面から「actions」（アクション）を選択し、「Workflow permissions」（ワークフロー権限）セクションをチェックする。

リポジトリのワークフロー権限の設定画面（提供：GitHub）