feat: security-checklist に GITHUB_TOKEN スコープ監査・環境変数シークレット漏洩チェックを追加 #18
Description
背景
audit-actions の security-checklist は主要なチェック項目をカバーしているが、以下の観点が不足している:
- GITHUB_TOKEN スコープ監査:
permissions:宣言があっても、リポジトリ設定(public/private、Settings > Actions > Workflow permissions)で実際のスコープが変わる。チェックリストにリポジトリ設定確認の案内がない - 環境変数経由のシークレット漏洩:
env:ブロックでシークレットを渡すとログに出力されるリスク。現在の「Secrets Passed to Untrusted Actions」チェックではカバーしきれない pull_request_target+ checkout の安全パターン: セクション3で言及はあるが、安全な ref 指定(base.shavshead.sha)の具体例が不足
対応
skills/audit-actions/references/security-checklist.md に以下を追加:
- GITHUB_TOKEN スコープ確認ガイダンス(Info レベル)
-
env:ブロックでのシークレット漏洩パターンと対策 -
pull_request_targetの安全/危険パターンの具体例