Безопасность token и доступов

Fine-grained token — это доступ к GitHub repo. Относись к нему как к паролю.

Главное правило

Никому не отправляй token.

Даже админу.

Админу можно отправить только статус:

Token создан и вставлен в plugin.

Где можно хранить token

Token можно вставить только в настройки Digital Garden plugin.

Не нужно хранить token:

• в заметке Obsidian;
• в README;
• в Google Docs;
• в Telegram;
• в email;
• в скриншоте;
• в issue;
• в commit.

Какие права должны быть у token

Минимально:

только нужный garden repo
Contents: Read and write

Не давай token доступ ко всем repositories, если нужен один garden.

Если token утёк

Если token случайно отправлен в чат, попал в файл или показан на скриншоте:

1. Сразу удали / revoke token в GitHub.

2. Создай новый token.

3. Вставь новый token в Digital Garden plugin.

4. Сообщи админу:

   Старый token был отозван, новый создан и вставлен.
   

Не отправляй новый token.

Если сотрудник больше не работает с garden

Нужно:

• удалить token или revoke token в GitHub;
• сообщить админу, чтобы он убрал доступ к repo;
• удалить локальную копию проекта, если так принято в команде.

Скриншоты

Перед отправкой скриншота проверь, что на нём не видно:

• token;
• приватных email;
• приватных repo, к которым нет отношения;
• личных данных;
• внутренней информации, которую нельзя показывать.