Um PR muda GITHUB_TOKEN de read para write

Um PR muda GITHUB_TOKEN de read para write. Passa no review como "só mais um YAML". Ninguém percebe de propósito.

Esse é o tipo de mudança que eu queria tornar visível antes do merge.

Mudanças de controle de acesso em workflows quase nunca são revisadas como mudanças de segurança. Elas se escondem no meio do diff:

• GITHUB_TOKEN ganhando permissão de escrita;
• novo uso de secrets.X;
• pull_request_target sendo adicionado;
• CODEOWNERS alterado;
• action de terceiro entrando num workflow sensível.

Construí o Rino Sentinel para uma coisa só: mostrar, no próprio PR, quando uma mudança altera controle de acesso.

Nos meus primeiros testes em repositórios reais, ele apontou mudanças de permissão, secrets e pull_request_target que passariam batido num review normal.

É uma GitHub Action read-only. Roda em pull_request, com o mínimo:

contents: read

pull-requests: read

Sem backend. Sem LLM. Sem storage. Sem telemetria. Sem dashboard. Sem pull_request_target.

Não tenta substituir GitHub Advanced Security, zizmor ou StepSecurity. A proposta é menor e mais específica — um check de PR que faz uma pergunta só:
| essa mudança mexe em controle de acesso?

Estou validando se isso resolve uma dor real para quem trabalha com Platform Engineering, AppSec e DevSecOps.

Você não precisa instalar nada para opinar: dá uma olhada nas detecções reais documentadas no README e me diz uma coisa —

isso pegaria algo que passa batido no seu CI hoje?

(Release pública OSS, 102 testes, MIT. Se topar rodar num repo real, melhor ainda — é só me chamar.)

Github -> Repositório