Saat kita membuat automasi dengan GitHub Actions, ada satu aspek krusial yang sering terlewat: keamanan. Pengaturan "Workflow permissions" ini mengontrol seberapa besar "kuasa" yang kita berikan pada skrip automasi kita. Yuk, kita pahami artinya biar repositori kita tetap aman!
1. Izin untuk GITHUB_TOKEN
Setiap kali GitHub Actions berjalan, ia menggunakan token rahasia sementara bernama GITHUB_TOKEN untuk berinteraksi dengan repositori. Pengaturan ini menentukan level akses standar untuk token tersebut.
Read and write permissions (Izin Baca dan Tulis)
Opsi ini memberikan GITHUB_TOKEN kekuasaan penuh. Workflow tidak hanya bisa membaca, tapi juga menulis/mengubah data di repositori, seperti push commit baru, membuat rilis, dan lainnya.
Analogi: Ini seperti memberikan kunci master sebuah gedung kepada seorang kontraktor. Dia bisa masuk ke semua ruangan (baca) dan juga merenovasi atau mengubah isi ruangan tersebut (tulis).
Read repository contents... (Izin Hanya Baca)
Opsi ini membatasi GITHUB_TOKEN agar hanya bisa membaca konten. Workflow tidak bisa mengubah apa pun. Ini adalah penerapan "Prinsip Hak Akses Terbatas", standar keamanan yang sangat baik.
Analogi: Ini seperti memberikan kartu akses tamu. Kontraktor bisa masuk dan melihat semua ruangan untuk mengukur (baca), tapi tidak bisa memindahkan barang atau mengecat dinding (tidak bisa tulis).
Pilih "Read repository contents and packages permissions". Ini adalah praktik terbaik yang direkomendasikan GitHub. Jika ada workflow tertentu yang butuh izin tulis, Anda bisa memberikannya secara spesifik di file .yaml workflow tersebut. Ini jauh lebih aman!
2. Izinkan Actions Membuat & Menyetujui PR
Pengaturan ini memberikan kemampuan spesifik kepada workflow untuk membuat Pull Request (PR) baru atau menyetujui PR yang sudah ada. Sangat berguna untuk automasi tingkat lanjut.
Analogi: Ini seperti memberikan wewenang tambahan kepada asisten AI Anda. Selain bisa membaca laporan, ia kini juga bisa mengajukan proposal baru (membuat PR) dan memberikan 'jempol persetujuan' (approve PR) atas nama Anda jika syarat terpenuhi.
Biarkan ini tetap tercentang. Walaupun mungkin belum Anda gunakan sekarang, mengaktifkannya tidak berbahaya dan membuka pintu untuk automasi canggih di masa depan, seperti bot yang meng-update dependensi secara otomatis.
Ringkasan Rekomendasi
| Pengaturan | Pilihan yang Direkomendasikan | Alasan Singkat |
|---|---|---|
| Workflow permissions | Read ... permissions (Hanya Baca) | 🔒 Lebih aman (Prinsip Hak Akses Terbatas). |
| Allow Actions to create/approve PR | ✅ Aktifkan | 🤖 Membuka potensi automasi di masa depan. |