答案是（不幸的是）是

你可以在这里找到一些参考：

• 使用 GitHub 操作风险自负
• GitHub 操作的安全性
• Github Actions 使用安全吗？
• GitHub Actions 的安全强化
• 确保您的 GitHub 操作和工作流程安全：不受信任的输入
• 确保您的 GitHub 操作和工作流程安全：防止 pwn 请求

了解这与您每天用于编码的大多数库相同。

Github市场上的Github Actions通常是公共开源存储库，并不总是由大公司提供支持。

它们中的大多数都执行简单的操作，您可以通过查看存储库代码来检查这些操作，但所有者始终有可能在实现的深处配置恶意内容。

这就是为什么您在选择一个或另一个操作/库时需要注意这一点，并在将它们用于您自己的项目之前小心并检查代码及其最终漏洞。

如果您需要将个人访问令牌(PAT) 作为输入变量，请更加谨慎。

请注意，Github 在 Marketplace 上显示经过验证的用户，可以将其视为“受信任的”。

例子：

希望不是每个人都有这种心态（做恶意的事情），社区大部分时间都是有帮助的。请注意，可能总是存在一些风险（一些安全工具可以帮助解决这个问题）。