GitHub Actions 的 OIDC 能让 workflow 通过短期身份访问云资源,减少长期密钥泄露风险。2026 年 4 月更新后,OIDC token 可以带上仓库自定义属性。
这有什么用
组织可以按仓库属性设置云端信任策略,例如环境类型、团队归属、合规等级,而不是为每个仓库单独维护一套角色列表。
普通团队怎么理解
如果你维护多个仓库,最好让 “能部署生产环境” 的权限和仓库标签绑定。这样新增仓库时,权限不会靠人工记忆复制,也更容易审计。
来源:GitHub Changelog https://github.blog/changelog/2026-04-02-github-actions-early-april-2026-updates