feat: security-checklist に permissions: {} (deny by default) パターンを追加 #24
Description
背景
PR #21 で全ワークフローに permissions: {} (deny by default) + ジョブレベル permissions 宣言パターンを適用した。
これは zizmor の excessive-permissions 指摘を解消する最も安全なパターンで、audit-actions スキルでも推奨すべき。
現状
- security-checklist のチェック CI に LLM ベースのスキル品質チェックを追加 #1 は「Top-level permissions」の存在確認のみ
permissions: {}+ ジョブレベル宣言という deny by default パターン への言及がない- コメントによる理由明記(zizmor の
undocumented-permissions対策)の推奨もない
対応
- チェック CI に LLM ベースのスキル品質チェックを追加 #1 を拡張:
permissions: {}+ ジョブレベル宣言を推奨パターンとして追記 - 新規 Info チェック:permissions エントリにコメントで理由が明記されているか