Я работаю над коммерческим настольным приложением, созданным с использованием Electron, и наша кодовая база находится в частном репозитории GitHub. Мы пытаемся дать разработчикам возможность публиковать двоичные файлы в выпусках GitHub и использовать средство электронного обновления для автоматического обновления.
Пользуясь поиском в Google и экспериментируя, я заставил это работать, но мне нужно было предоставить токен GH, который имеет разрешения read: packages, repo, write: packages. Из-за того, как работают электронное построение и электронное обновление, этот токен отображается в виде открытого текста в файле .yml после установки.
У меня вопрос: каковы последствия для безопасности раскрытия этого токена? Худшее, о чем я могу думать, - это когда злонамеренный пользователь отправляет ложные обновления, что не кажется таким уж плохим, поскольку они могут выдвигать только черновые версии, насколько я понимаю.