## 背景 PR #21 で全ワークフローに `permissions: {}` (deny by default) + ジョブレベル permissions 宣言パターンを適用した。 これは zizmor の `excessive-permissions` 指摘を解消する最も安全なパターンで、audit-actions スキルでも推奨すべき。 ## 現状 - security-checklist のチェック #1 は「Top-level permissions」の存在確認のみ - `permissions: {}` + ジョブレベル宣言という **deny by default パターン** への言及がない - コメントによる理由明記(zizmor の `undocumented-permissions` 対策)の推奨もない ## 対応 - [ ] チェック #1 を拡張:`permissions: {}` + ジョブレベル宣言を推奨パターンとして追記 - [ ] 新規 Info チェック:permissions エントリにコメントで理由が明記されているか ## 参考 - PR #21: deny by default パターンの実装 - https://docs.zizmor.sh/audits/#excessive-permissions - https://docs.zizmor.sh/audits/#undocumented-permissions
背景
PR #21 で全ワークフローに
permissions: {}(deny by default) + ジョブレベル permissions 宣言パターンを適用した。これは zizmor の
excessive-permissions指摘を解消する最も安全なパターンで、audit-actions スキルでも推奨すべき。現状
permissions: {}+ ジョブレベル宣言という deny by default パターン への言及がないundocumented-permissions対策)の推奨もない対応
permissions: {}+ ジョブレベル宣言を推奨パターンとして追記参考