GitHub выпустил общедоступную бета-версию action-permissions — инструмента, который отслеживает рабочие процессы GitHub Actions и рекомендует минимальные разрешения, необходимые для их запуска. Каждый рабочий процесс GitHub получает токен доступа к временному репозиторию (GITHUB_TOKEN). У этих токенов изначально был очень широкий набор разрешений с полным чтением и записью в репозиторий (кроме пулл-реквестов от форков). Чтобы проверить, используется ли широкое разрешение по умолчанию для токенов рабочего процесса, нужно перейти к настройкам репозитория (или организации) -> выбрать «Действия» и проверить раздел «Разрешения рабочего процесса».