Комментарии 2
Да, вот, совсем недавно долго не мог понять что это за чорная магия такая (и какой-то официальной инфы про это так и не видел). Если сгенерировать себе PAT (personal access token), а потом вставить его куда-нибудь в исходники и запушить, то этот токен просто-напросто удаляется из коллекции токенов совсем. Я отлаживал workflow, который требовал PAT с определенными разрешениями. Генерирую токен и вставляю его текстом туда (я знаю, что так делать нельзя, но я делал это временно, позже я бы заменил это на "${{secrets.BLA_BLA_BLA}}"). И когда я после этого запускаю workflow, то он падает жалуясь на этот токен. Иду в список токенов и к своему удивлению вижу, что его там уже нет. И так повторяется несколько раз подряд. После этого я уже стал шаг за шагом повторять всю цепочку своих действий и все-таки отследил в какой момент он удаляется. Могли бы как-нибудь не так жестко это делать, что ли. Предупреждение просто выдавать. А то завтра кто-нибудь вообще придумает найдя в исходниках пароль открытым текстом сносить пользователю весь репозиторий :)
На моей памяти, был как минимум https://hackerone.com/reports/1087489 инцидент (скорее всего их сильно больше), видимо, чтобы не терять очень много средств как раз автоматически удаляют токены и дают возможность создавать их с точечными ограничениями.
Если пароли в исходниках тоже будут приносить такие убытки, то думаю, что в полное возможно, что добавят обработку таких моментов, но сначала более лайтово :)
GitHub запускает бесплатное сканирование репозиториев на наличие секретов